13. Januar 2017 Engineering

Schutz vor Erpressung durch Datendiebstahl

By Mike Paquette

Letzte Woche gab es einen bösartigen Angriff, bei dem Daten aus tausenden Open-Source-Datenbanken kopiert, gelöscht und gegen Lösegeld angeboten wurden. Obwohl bei diesen Angriffen keine Malware oder „Ransomware“ eingesetzt wurde und sie nichts mit Schwachstellen in den Produkt selbst zu tun haben, stellen sie ein ernstes Sicherheitsproblem dar, da Datenverlust oder die Verletzung der Datensicherheit drohen. Die gute Nachricht ist, dass man sich ganz einfach mit der richtigen Konfiguration vor dem Verlust von Daten durch Angriffe solcher Art schützen kann.

Wir nehmen diesen Vorfall daher zum Anlass, um noch einmal daran zu erinnern, wie wichtig es ist, alle Elasticsearch-Instanzen zu sichern – vor allem diejenigen, die über das Internet zugänglich sind. 


Kunden, die die Elastic Cloud nutzen, können sicher sein, dass ihre Cluster mit X-Pack Security über zufällig generierte, individuelle Passwörter geschützt sind. Sie befinden sich hinter redundanten Firewalls und Proxys in der vom Kunden ausgewählten AWS-Region. Verschlüsselte TLS-Kommunikation aus dem Internet wird in der Standardkonfiguration bereitgestellt. Außerdem stellt Elastic zwei Tage lang Backups der Cluster-Daten zur Verfügung.

Für alle anderen Cluster haben wir bereits explizit darauf hingewiesen, dass ungesicherte Elasticsearch-Instanzen nicht direkt im Internet erreichbar sein sollten (z. B. in unserem Blog-Beitrag aus dem Jahr 2013). Wir haben das ebenfalls in die Praxis umgesetzt, indem unsere Standardinstallation nur auf Localhost erreichbar ist. Dennoch haben wir festgestellt, dass es immer mehr ungesicherte, über das Internet zugängliche Instanzen gibt.

Wenn du eine ungesicherte, im Internet erreichbare Instanz von Elasticsearch verwendest, empfehlen wir dringend die folgenden Schritte, um deine Daten zu schützen:

  • Erstelle Backups von allen deinen Daten an einem sicheren Ort und erwäge die Nutzung von Curator-Snapshots
  • Konfiguriere deine Umgebung neu, damit Elasticsearch in einem isolierten, nicht routbaren Netzwerk läuft.
  • Oder, falls dein Cluster über das Internet erreichbar sein muss, beschränke den Zugriff mit einer Firewall, einem VPN, einem Reverse Proxy oder einer anderen Technologie.

Und grundsätzlich empfehlen wir immer folgende bewährte Vorgehensweisen: