0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395  干货 | Elasticsearch 7.1免费安全功能全景认知
英语文化交流 > 技术博客 > 干货 | Elasticsearch 7.1免费安全功能全景认知
干货 | Elasticsearch 7.1免费安全功能全景认知
时间: 分类:技术博客

0、背景

2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供。

这意味着用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana
提供全面保护。

免费提供的核心安全功能如下:
1)TLS 功能。 可对通信进行加密;
2)文件和原生 Realm。 可用于创建和管理用户;
3)基于角色的访问控制。 可用于控制用户对集群 API 和索引的访问权限;通过针对 Kibana Spaces 的安全功能,还可允许在Kibana 中实现多租户。
网上千篇一律都是这篇通稿,不实践一把,感觉还是不好理解。

结合大家最关心的问题,从下面几个认知维度,对Elasticsearch安全进行全面探讨。

1、x-pack演变
干货 | Elasticsearch 7.1免费安全功能全景认知

5.X版本之前:没有x-pack,是独立的:security安全,watch查看,alert警告等独立单元。
5.X版本:对原本的安全,警告,监视,图形和报告做了一个封装,形成了x-pack。
6.3 版本之前:需要额外安装。
6.3版本及之后:已经集成在一起发布,无需额外安装,基础安全属于付费黄金版内容。 7 .1版本:基础安全免费。
2、开源!=免费

2018年2月28日X-Pack 特性的所有代码开源,主要包含:
Security、Monitoring、Alerting、Graph、Reporting、专门的 APM UI、Canvas、Elasticsearch SQL、Search Profiler、Grok Debugger、Elastic Maps Service zoom levels 以及 Machine Learning。

2019年5月21日免费开放了文章开头的基础安全功能,在这之前的版本都是仅有1个月的适用期限的。

如下功能点仍然是收费的。

付费黄金版&白金版提供功能:

审核日志
IP 筛选
LDAP、PKI*和活动目录身份验证
Elasticsearch 令牌服务
付费白金版提供安全功能:

单点登录身份验证(SAML、Kerberos*)
基于属性的权限控制
字段和文档级别安全性
第三方整合(自定义身份验证和授权 Realm)
授权 Realm
静态数据加密支持
FIPS 140-2 模式
干货 | Elasticsearch 7.1免费安全功能全景认知

官方地址:
https://www.elastic.co/cn/subscriptions
3、安全部分免费之前,大家怎么保证基础安全?

场景一:全部“裸奔”,相信这在国内占据了非常大的比重。
内网部署,不对外提供服务。或者ES作为业务基础支撑,不公网开放9200等常用端口,开放的是业务的服务端口。

可能暴露问题:公司或团队内部开放9200、5601端口,基本head插件、kibana都能连接,极易导致线上索引或数据可能被误删。

场景二:加了简单防护。
一般使用Nginx身份认证+防火墙策略控制。

场景三:整合使用了第三方安全认证方案。
比如:SearchGuard、ReadonlyREST。

场景四:付费购买了Elastic-Xpack黄金版或白金版服务。

一般是银行等土豪大客户,对安全、预警、机器学习等付费功能需求迫切,如:宁波银行付费购买白金服务。

4、基于免费安全认证,我们能做什么?

4.1 TLS 功能。

可对通信进行加密。

实践一把。在本机win10环境,部署了2节点7.1集群。

部署官网已经介绍非常详细了:

https://www.elastic.co/cn/blog/getting-started-with-elasticsearch-security。

核心步骤:

第一步:下载+基础配置,2ES node+1kibana。
第二步:配置TLS和认证。
bin/elasticsearch-certutil cert -out config/elastic-certificates.p12 -pass ""
注意:
1、此配置适用于具有多个节点的集群以及具有侦听外部接口的单个节点的集群。
2、使用环回接口的单节点集群没有此要求。

第三步:设置ES等相关登录密码。
bin/elasticsearch-setup-passwords auto
自动生成相对安全,也可以手动设置密码。

干货 | Elasticsearch 7.1免费安全功能全景认知

第四步:配置kibana。
自此,多节点集群之间的通信在传输层通过加密通信加了安全性(TLS / SSL)保护。
4.2 文件和原生 Realm。

可用于创建和管理用户。
1、head插件安全登录:

干货 | Elasticsearch 7.1免费安全功能全景认知

2、kibana安全登录:

干货 | Elasticsearch 7.1免费安全功能全景认知

相比于未使用x-pack安全防护的集群,节点之间的通信wireshark抓包已不能解密。
4.3 基于角色的访问控制。

可用于控制用户对集群 API 和索引的访问权限;

通过针对 Kibana Spaces 的安全功能,还可允许在 Kibana 中实现多租户。
权限部分分解为3个维度(相对不严谨,Space更偏向于Kibana维度):

1、Space维度、
2、角色维度、
3、用户维度。

干货 | Elasticsearch 7.1免费安全功能全景认知

Space是Elastic6.5版本引入的新特性,便于便于企业分组管理。

比如:开发、测试、运维、产品可以是不同的视角。

干货 | Elasticsearch 7.1免费安全功能全景认知

角色:设置Elasticsearch数据的权限并控制对Kibana空间的访问。
干货 | Elasticsearch 7.1免费安全功能全景认知

用户:关联对应的角色。1个角色下可以有多个用户,但一个用户唯一对应一个角色。
干货 | Elasticsearch 7.1免费安全功能全景认知
4.4 其他

不尽兴怎么办? 其他内容待实践后补充完善。

5、小结

关于安全:之前文章“你的Elasticsearch在“裸奔”吗?”有过总结,“裸奔”Elastic集群的风险非常大,我们必须提前加强重视。
关于费用:中小企业客户基本是没有也不可能付费买商业版的(坊间传闻:x-pack黄金版40000+每年;白金版60000+每年)。基础安全免费给大家带来非常利好的消息。
关于选型:Elastic7.1的基础安全免费,基本解决了中小企业的安全问题,在后续7.X版本的选型中,7.1 较7.0更有鲜明的安全特点,应该优先选择。
参考:
https://www.elastic.co/cn/blog/heya-elastic-stack-and-x-pack
https://www.elastic.co/cn/blog/getting-started-with-elasticsearch-security

随机阅读

Copyright © 2017 英语文化交流 All Rights Reserved.