本文档通过与自建的Elasticsearch做对比,为您介绍了阿里云Elasticsearch更加全面和专业的安全特性。

背景信息

开源软件一直是黑客攻击的首选,比如之前黑客组织对MongoDB数据发起大规模的勒索软件攻击事件就是典型的例子。当然黑客组织也一直在关注Elasticsearch,给未进行特殊安全配置的Elasticsearch自建服务带来数据被删除或业务被入侵的安全风险。
ES安全特性背景信息

阿里云安全中心曾发布《Elasticsearch被入侵的安全风险预警》,并提供过一系列安全加固的策略和方案。与自建Elasticsearch需要进行的安全配置相比,阿里云Elasticsearch在数据和服务安全上提供了更加全面和专业的方案。

安全特性说明

阿里云在2017年11月份开始提供全托管的Elasticsearch云服务,对于Elasticsearch容易被针对的问题,提供了一系列的安全措施。
ES安全特性

自建Elasticsearch与阿里云Elasticsearch服务的安全建议和对比如下表。

安全指标项 自建Elasticsearch需要进行的配置 阿里云Elasticsearch默认能力
访问控制
  • 购买云安防产品(如安全组、防火墙等)对来访IP进行隔离控制。
  • 尽量不要开启9200端口。
  • 绑定访问源IP。
  • 修改默认端口。
  • VPC内部署数据链路层的网络隔离。
  • 访问地址支持IP白名单设置(单个IP或IP网段),并且支持IPV6。
  • Kibana支持IP白名单设置(单个IP或IP网段)。
认证授权 安装三方安全插件(如Searchguard、Shield等)。
  • 基于RAM的集群访问策略(ReadOnlyAccess只读访问、FullAccess管理员等)。
  • 基于RAM的权限控制(Instance、Account等资源及GET/POST/PUT操作等)。
  • 基于X-Pack安全插件的RBAC的权限体系,支持Field级别的数据权限管控。
  • 基于X-Pack安全插件的SSO能力,支持通过Active Directory、LDAP或Elasticsearch原生Realm来进行身份验证。
安全加密
  • 使用支持静态加密的存储介质。
  • 在yml配置中关闭HTTP访问。
  • 支持HTTPS的访问协议。
  • 支持基于KMS的静态数据存储加密。
  • 基于X-Pack安全插件的SSL/TLS节点传输加密。
监控审计 借助三方工具进行审计和监控。
  • 基于X-Pack安全插件的操作日志审计。
  • 基于CMS(云监控)的集群负载等全维度指标的监控。
数据服务容灾
  • 购买文件系统进行定期备份。
  • 维护多个集群进行服务容灾。
  • 单集群同城多活。
  • 数据自动定时备份。