搜索
搜 索
本版
文章
帖子
用户
图文精华
hadoop-2.6.0+zookeeper-3.4.6+hbase-1.0.0+hive-1.1.0完全分布 ...
首页
Portal
专题
BBS
面试
办公|编程助手
更多
登录
注册
用户组:游客
主题
帖子
云币
我的帖子
我的收藏
我的好友
我的勋章
设置
退出
导读
淘贴
博客
群组
社区VIP
APP下载
今日排行
本周排行
本周热帖
本月排行
本月热帖
会员排行
About云-梭伦科技
»
专题
›
技术学习(版主发帖区)
›
大数据学习
›
Solr|Nutch|Lucene|ES
›
技术应用
›
Elasticsearch 7.1安全功能入门【实践】
0
1
2
分享
Elasticsearch 7.1安全功能入门【实践】
levycui
2019-5-29 18:35:00
发表于
技术应用
[显示全部楼层]
只看大图
阅读模式
关闭右栏
1
9115
问题导读:
1、有哪些版本的x-pack?
2、安全部分免费之前,大家怎么保证基础安全?
3、基于免费安全认证,我们能做什么?
4、角色的访问控制有哪些内容?
0、背景
2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供。
这意味着用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana
提供全面保护。 免费提供的核心安全功能如下:
1)TLS 功能。 可对通信进行加密;
2)文件和原生 Realm。 可用于创建和管理用户;
3)基于角色的访问控制。 可用于控制用户对集群 API 和索引的访问权限;
通过针对 Kibana Spaces 的安全功能,还可允许在Kibana 中实现多租户。
网上千篇一律都是这篇通稿,不实践一把,感觉还是不好理解。
结合大家最关心的问题,从下面几个认知维度,对Elasticsearch安全进行全面探讨。
1、x-pack演变
5.X版本之前:没有x-pack,是独立的:security安全,watch查看,alert警告等独立单元。
5.X版本:对原本的安全,警告,监视,图形和报告做了一个封装,形成了x-pack。
6.3 版本之前:需要额外安装。
6.3版本及之后:已经集成在一起发布,无需额外安装,基础安全属于付费黄金版内容。 7 .1版本:基础安全免费。
2、开源!=免费
2018年2月28日X-Pack 特性的所有代码开源,主要包含:
Security、Monitoring、Alerting、Graph、Reporting、专门的 APM UI、Canvas、Elasticsearch SQL、Search Profiler、Grok Debugger、Elastic Maps Service zoom levels 以及 Machine Learning。
2019年5月21日免费开放了文章开头的基础安全功能,在这之前的版本都是仅有1个月的适用期限的。
如下功能点仍然是收费的。
付费黄金版&白金版提供功能:
审核日志
IP 筛选
LDAP、PKI*和活动目录身份验证
Elasticsearch 令牌服务
付费白金版提供安全功能:
单点登录身份验证(SAML、Kerberos*)
基于属性的权限控制
字段和文档级别安全性
第三方整合(自定义身份验证和授权 Realm)
授权 Realm
静态数据加密支持
FIPS 140-2 模式
官方地址:
https://www.elastic.co/cn/subscriptions
3、安全部分免费之前,大家怎么保证基础安全?
场景一:全部“裸奔”,相信这在国内占据了非常大的比重。
内网部署,不对外提供服务。或者ES作为业务基础支撑,不公网开放9200等常用端口,开放的是业务的服务端口。
可能暴露问题:公司或团队内部开放9200、5601端口,基本head插件、kibana都能连接,极易导致线上索引或数据可能被误删。
场景二:加了简单防护。
一般使用Nginx身份认证+防火墙策略控制。
场景三:整合使用了第三方安全认证方案。
比如:SearchGuard、ReadonlyREST。
场景四:付费购买了Elastic-Xpack黄金版或白金版服务。
一般是银行等土豪大客户,对安全、预警、机器学习等付费功能需求迫切,如:宁波银行付费购买白金服务。
4、基于免费安全认证,我们能做什么?
4.1 TLS 功能。
可对通信进行加密。
实践一把。在本机win10环境,部署了2节点7.1集群。
部署官网已经介绍非常详细了:
https://www.elastic.co/cn/blog/g ... sticsearch-security
核心步骤:
第一步:下载+基础配置,2ES node+1kibana。
第二步:配置TLS和认证。
[mw_shl_code=shell,true] bin/elasticsearch-certutil cert -out config/elastic-certificates.p12 -pass ""[/mw_shl_code]
注意:
1、此配置适用于具有多个节点的集群以及具有侦听外部接口的单个节点的集群。
2、使用环回接口的单节点集群没有此要求。
第三步:设置ES等相关登录密码。
[mw_shl_code=shell,true]bin/elasticsearch-setup-passwords auto[/mw_shl_code]
自动生成相对安全,也可以手动设置密码。
第四步:配置kibana。
自此,多节点集群之间的通信在传输层通过加密通信加了安全性(TLS / SSL)保护。
4.2 文件和原生 Realm。
可用于创建和管理用户。
head插件安全登录:
kibana安全登录:
相比于未使用x-pack安全防护的集群,节点之间的通信wireshark抓包已不能解密。
4.3 基于角色的访问控制。
可用于控制用户对集群 API 和索引的访问权限;
通过针对 Kibana Spaces 的安全功能,还可允许在 Kibana 中实现多租户。
权限部分分解为3个维度(相对不严谨,Space更偏向于Kibana维度):
1、Space维度、
2、角色维度、
3、用户维度。
Space是Elastic6.5版本引入的新特性,便于便于企业分组管理。
比如:开发、测试、运维、产品可以是不同的视角。
角色:设置Elasticsearch数据的权限并控制对Kibana空间的访问。
用户:关联对应的角色。1个角色下可以有多个用户,但一个用户唯一对应一个角色。
4.4 其他
不尽兴怎么办? 其他内容待实践后补充完善。
5、小结
关于安全:之前文章“
你的Elasticsearch在“裸奔”吗?
”有过总结,“裸奔”Elastic集群的风险非常大,我们必须提前加强重视。
关于费用:中小企业客户基本是没有也不可能付费买商业版的(坊间传闻:x-pack黄金版40000+每年;白金版60000+每年)。基础安全免费给大家带来非常利好的消息。
关于选型:Elastic7.1的基础安全免费,基本解决了中小企业的安全问题,在后续7.X版本的选型中,7.1 较7.0更有鲜明的安全特点,应该优先选择。
最新经典文章,欢迎关注公众号
作者:铭毅天下
来源:
https://blog.csdn.net/laoyang360/article/details/90554761
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
已有(1)人评论
电梯直达
正序浏览
美丽天空
发表于 2019-5-30 22:21:50
感谢分享
回复
使用道具
举报
显身卡
还有一些帖子被系统自动隐藏,点此展开
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
最佳新人
积极上进,爱好学习
热心会员
经常帮助其他会员答疑
发表新帖
levycui
超级版主
关注
653
主题
1166
帖子
97
粉丝
TA的主题
人工智能,助力书写数字金融大文章
2024-9-14
开源模型超过最强闭源模型,Llama 3.1颠覆AI生态
2024-7-25
慈不掌兵,我被下属反向PUA了
2024-5-21
字节三面过程,最终还是凉了
2024-4-25
用户画像算法:历史、现状与未来
2024-4-2
24小时热文
kafka面试题精选
Nebula Flink Connector 在实时 ETL 的实践
Apache Doris 用户案例集
国家电网公司主数据管理系统技术规范
企业的主数据建设方法论与实践
关闭
推荐
/2
中文版ChatGPT
1.无需魔法 2.提高编程效率 3.提高文档能力
查看 »
新手帮助
新手帮助:注册遇到问题,领取资源,加入铁粉群,不会使用搜索,如何获取积分等
查看 »
意见
反馈