重要!!Elasticsearch 安全加固指南
1、安全無小事
此處省略 1 萬字 。。。。。。
2、Elasticsearch 安全演進(jìn)歷史
6.3 版本之前 X-Pack 需要單獨(dú)安裝。
6.3(含)及之后版本 X-Pack 已集成到 Elasticsearch。
如果沒有第三方加固,1.X——6.8之前版本,Elasticsearch 都屬于“裸奔”狀態(tài)。
6.8 版本和 7.1 版本之后,Elasticsearch X-Pack 基礎(chǔ)功能免費(fèi)。
1.X——7.X,Elasticsearch 安全都不是必選項(xiàng),也就是部署 Elasticsearch 安全是否開啟都是自己隨意的,Elasticsearch 沒有強(qiáng)制要求。
直到 8.X 版本,Elasticsearch 才自動(dòng)默認(rèn)集成安全功能。
Elasticsearch 版本迭代歷史:
| 發(fā)布日期 | 版本號(hào) | 時(shí)間間隔 |
|---|---|---|
| 2010-05-14 | V0.7 | |
| 2014-02-14 | V1.0 | 1372 天 |
| 2015-10-28 | V2.0 | 621 天 |
| 2016-10-26 | V5.0 | 364 天 |
| 2017-11-14 | V6.0 | 384 天 |
| 2019-04-10 | V7.0 | 512 天 |
| 2022-02-11 | V8.0 | 1038 天 |
3、Elasticsearch 如何安全加固?
3.1 重要數(shù)據(jù)不要放到“公網(wǎng)”
數(shù)據(jù)不要放到“公網(wǎng)”,放到斷開互聯(lián)網(wǎng)的內(nèi)網(wǎng)!
不論自建云平臺(tái)還是公共云平臺(tái),都算”公網(wǎng)“,都是接通了互聯(lián)網(wǎng)的。
3.2 集群不要“裸奔”
”裸奔“就是將數(shù)據(jù)的”底ku“脫掉給別人看。
對(duì)于普通技術(shù)人員,但凡懂一點(diǎn)網(wǎng)絡(luò)掃描知識(shí),就如“入無人之地”。
更不用說黑客!
3.3 集群盡早升級(jí)到 8.X 版本
當(dāng)前是 2022-07-03,距離8.0 發(fā)布已過去近5個(gè)月,8.X 已更新到 8.3.1 版本了。不要糾結(jié)了,升級(jí)吧。
比快更快,Elasticsearch 8.0 正式發(fā)布!
3.4 安全要全方位
7.X 版本的安全分為三類:
minmal security 最小安全 basic security 基礎(chǔ)安全 Https security 高階安全
最小安全至少得有,也就是說,別人訪問我們的 Elasticsearch 集群 和 kibana 至少需要賬號(hào)和密碼。
8.X 沒有上面的三類劃分,因?yàn)?a target="_blank" textvalue=" 8.X " linktype="text" imgurl="" imgdata="null" data-itemshowtype="0" tab="innerlink" data-linktype="2"> 8.X 已經(jīng)將安全由可選項(xiàng)變?yōu)椤澳J(rèn)必選項(xiàng)”,這是安全利好消息。
除了賬號(hào)、密碼、security CRT 認(rèn)證,我們期望 Elasticsearch 集群支持 Https訪問,Kibana 也要支持 Https 訪問。
當(dāng)然,更高級(jí)別的安全,如:kerberos 認(rèn)證,如果公司需要也要盡量搞。
集群安全搞好了,數(shù)據(jù)“躺平”放心了!
充分用好 Kibana 空間、角色、用戶的劃分,確保集團(tuán)公司和分公司、公司下的不同層級(jí)、相同層級(jí)的不同用戶看到的數(shù)據(jù)是不一樣的。
3.5 重要數(shù)據(jù)要脫敏存儲(chǔ)
以防萬一,即便數(shù)據(jù)被“脫褲”,確保不會(huì)丟失敏感數(shù)據(jù)信息。
比如:身份證號(hào)、手機(jī)號(hào)、住址信息等。
3.6 必要時(shí),集群外加一層代理
如:Nginx 或者 medcl 大神開源的性能更加牛逼的“極限網(wǎng)關(guān)”。
3.7 如果不喜歡 Elasticsearch 自帶安全,你還可以選擇?
3.7.1 search-guard
https://search-guard.com/
使用前要注意:Elasticsearch 和 search-guard 公司有官司,具體查看:
https://www.elastic.co/cn/blog/dear-search-guard-users
3.7.2 readonlyrest
readonlyrest 為 Elasticsearch 和 kibana 第三方安全插件。
https://readonlyrest.com/
要說明的是:不論 Elasticsearch、search-guard 還是 readonlyrest,高階安全功能都是收費(fèi)的。
4、近幾年,多次強(qiáng)調(diào)的安全
上面都不是馬后炮,咱們近幾年一直在強(qiáng)調(diào)安全,具體文章如下:
5、小結(jié)
大家的 Elasticsearch 集群版本是多少?做了哪些安全防護(hù)?
有沒有更好的安全防護(hù)措施?
歡迎留言交流。