ElasticsearchとKibanaの保護edit

X-Pack securityを使用すると、クラスタを簡単に保護できます。Securityでは、データをパスワードで保護するだけでなく、通信の暗号化、ロールベースのアクセス制御、IPフィルタリング、監査などのさらに高度なセキュリティ対策を実装できます。このガイドでは、必要なセキュリティ機能を設定する方法と安全なクラスタとやり取りする方法について説明します。

Securityは、以下の方法でElasticsearchクラスタを保護します。

不正アクセスの防止edit

Elasticsearchクラスタへの不正アクセスを防止するには、ユーザーを_認証_する手段が必要です。これは単に、ユーザーが本人であることを確認するための方法が必要であるということです。たとえば、_Kelsey Andorra_という名前の人物だけが`kandorra`というユーザーとしてサインインできることを確認する必要があります。X-Pack Securityは、すぐにクラスタをパスワードで保護することができるスタンドアロンの認証方式を提供します。​LDAP、​ Active Directory、または​ PKIをすでに使用して組織内のユーザーを管理している場合、X-Pack securityはこれらのシステムと統合してユーザー認証を実行できます。

多くの場合、単純にユーザーを認証するだけでは不十分です。ユーザーがアクセスできるデータや実行できるタスクを管理する方法も必要です。X-Pack securityを使用すると、_ロール_にアクセス_権限_を割り当て、そのロールをユーザーに割り当てることでユーザーを認証できます。たとえば、この​ロールベースのアクセス制御メカニズム（別名RBAC）を使用すると、`kandorra`というユーザーは`events`インデックスでは読み込み操作のみを実行でき、他のインデックスでは何も実行できないように指定することができます。

X-Pack securityは、​IPベースの認証もサポートしています。特定のIPアドレスまたはサブネットをホワイトリストやブラックリストに入れて、サーバーへのネットワークレベルのアクセスを管理できます。

データの整合性の保持edit

セキュリティの重要な要素は、機密データの機密性を維持することです。 Elasticsearchには、偶発的なデータ損失や損傷に対する保護が組み込まれています。ただし、作為的な改ざんやデータ傍受を止めることはできません。X-Pack securityは、ノードとの​通信を暗号化してデータの整合性を保持し、​メッセージを認証してノード間通信の途中でデータが改ざんされていないかまたは破損していないかを検証します。さらに保護を強化するために、​暗号の強度を高めたり、​ノード間通信からクライアントのトラフィックを分離したりすることができます。

監査証跡の維持edit

システムの安全を維持するには警戒が必要です。X-Pack securityを使用して監査証跡を維持することにより、誰がクラスタにアクセスして何をしているのかを容易に知ることができます。アクセスパターンとクラスタへのアクセスの失敗を分析することで、試行された攻撃やデータ漏洩に関する洞察を得られます。アクティビティの監査可能なログをクラスタに保持すると、運用上の問題の診断にも役立ちます。

次はどこにedit

ご意見、ご質問、ご提案がありますか？edit

Security Discussion Forumで、ご意見やご質問、ご提案を共有してください。