新闻

在 Elastic Cloud 上使用流量筛选器提高网络安全性

作者
Shubha Anjur Tupil

今天我们很高兴地宣布针对 Elastic Cloud 推出新的流量管理功能。现在您可以在 Amazon Web Services (AWS)、Google Cloud 以及 Microsoft Azure 上的 Elastic Cloud 部署中配置 IP 筛选功能。我们还宣布推出与 AWS PrivateLink 的集成。这些功能可让您更好地控制 Elastic 工作负载的网络安全层。

控制您的部署的网络访问权限

通过 IP 筛选功能,您能够基于单一 IP 地址,以及 IP 地址区块或区间,指定对您 Elastic Cloud 部署的网络访问权限。AWS PrivateLink 能够在您的虚拟私有云 (VPC)、AWS 资源以及本地应用程序之间提供专用连接。这样的话,您便能够确保您的应用程序和 Elastic Cloud 部署之间的网络连接的安全性。

精心设计的安全政策包括基于最小特权原则的配置,以及应用分层安全控制。尽管这在开发强大的安全方案的过程中只是很小的一部分,但其理念是将应用程序、数据和系统的访问权限仅限于拥有合法业务需求的用户和系统。我们还意识到在保护企业免遭威胁方面没有任何一款安全工具能够完全胜任,所以我们必须分层实施安全控制。IP 过滤功能便真正践行了这两个理念。

如要为安装过程和部署添加另一个安全层,您可以将入栈 IP 地址流量限制为受信任的来源。例如,您可能希望将部署的访问权限严格限制为与部署生产版本时所用 VPC 相关的 IP 区间,同时还要将部署开发版本时所用的部署向更多的开发人员开放。

使用 Elastic Cloud 按 IP 地址或 IP 地址区间限制访问权限

使用 PrivateLink 确保部署访问权限的安全

一个很常见的安全架构是确保您的数据库和数据存储仅将您面向公众的应用程序暴露给专有 IP 地址。如果您在数据存储中存有个人可识别信息 (PII) 或敏感数据,我们推荐采用这种方法。

PrivateLink 作为提供安全连接的首选方式,现在越来越受到人们的青睐。它会将部署您的应用程序时所用的 VPC(服务消费方)与您的 Elasticsearch 部署所在的 VPC(服务提供方)连接起来。

通过 PrivateLink 访问服务很多优势,包括通过专有 IP 确保通信安全以及能够简化网络管理。与 VPC 对等连接和基于互联网网关的解决方案不同,PrivateLink 是单向的,这意味着它仅允许从消费方 VPC 至终端的流量。

您可以进一步选择让您的哪些 VPC 和子网能够访问 PrivateLink 终端。这能够有效地允许服务终端安全运行,就像直接在您的专有网络上托管一样,同时还能允许单向流量(从您的 VPC 到我们的 VPC)。

通过 PrivateLink 终端,并使用 Elastic Cloud 按照 IP 地址或 IP 地址区间,便可将访问权限限制为专有 IP


在 Elastic Cloud 中使用流量管理功能

创建流量筛选器

您既可以选择创建一个 PrivateLink 连接来将您的 VPC 对等连接到我们的 VPC,也可以创建一个 IP 筛选规则集来限制能够访问您的部署的 IP 集合。

创建一个 PrivateLink 终端

在 AWS 上配置一个 VPC 终端

  • 登录您的 AWS 账户并创建一个接口 VPC 终端。请参考流量筛选文档来针对您创建接口终端时所在的区域创建服务名称。举例说明,在 us-east-1 区域,服务名称会为 com.amazonaws.vpce.us-east-1.vpce-svc-0e42e1e06ed010238。分配应可访问终端的安全群组。完成之后,您将会得到一个 VPC Endpoint ID,此 ID 之后会用得到。
  • 配置一个 DNS CNAME 别名,让其指向您刚创建的终端接口的域名。

aws_create_private_link_endpoint2.png

配置流量筛选器:Elastic Cloud 上的 PrivateLink 终端

  • 在 Elastic Cloud 控制台中,导航至账户 > 流量筛选器,然后点击创建筛选器
  • 选择 PrivateLink。您可为自己的筛选器起一个易于理解的名字,并提供说明。可以考虑在名称中包括您的 VPC 的区域。Endpoint ID 指您在前一步中所保存的接口 VPC Endpoint ID。

创建一个 IP 筛选规则集

  • 在 Elastic Cloud 控制台中,导航至账户 > 流量筛选器,然后点击创建筛选器。选择 IP 筛选规则集。
  • 您可为自己的流量筛选器起一个易于理解的名字,并提供说明。您可添加一条或多条规则以处理多个 CIDR 区间或单独的 IP 地址。

创建完流量筛选器之后,您便可将它们关联至一个或多个部署以激活这些筛选器。

将流量筛选器关联至部署

筛选器创建完毕之后,您便可将其关联至部署,既可以在创建部署时进行关联,也可以编辑既有部署以完成关联。一个流量筛选器可关联至多个部署。一个部署也可以关联多个流量筛选器。从账户的仪表板中,您便可看到部署摘要以及相关联的流量筛选规则。

筛选器实操演练

您的部署将只能通过 PrivateLink 终端和/或通过已显式配置的 IP 列表进行访问,具体依您所配置的筛选规则而异。如要测试来自 VPC 中所部署应用程序的连接,您可以从未配置为拥有访问权限的地方尝试进行连接。

使用 Elastic Cloud 控制台应用专有链接流量筛选器

开始使用

登录注册参加 14 天的免费试用活动,开始体验 IP 筛选和 AWS PrivateLink 集成。这些功能向所有 Elastic Cloud 客户提供,包括标准级、黄金级、白金级和企业级客户,不会在标准云服务提供商定价的基础上加收任何费用。如需更多详情,请查看我们的产品文档