使用 Amazon OpenSearch Service 进行审核并保护搜索和日志分析数据

满足并保持身份验证、授权、加密、审计和监管合规等方面要求的您的安全性需求。

基于大量数据的分析解决方案特别容易受到安全风险和漏洞的影响。 您需要具有以下功能的强大安全性和合规性解决方案:

  • 安心托管敏感工作负载
  • 保护并限制对机密数据的访问
  • 与第三方身份提供商集成
  • 保护静态和传输中的数据
  • 审核用户活动和配置更新
  • 为您的自定义应用程序和其他 AWS 服务配置编程访问

Page Topics

OpenSearch 的关键安全功能

OpenSearch 的关键安全功能

使用您选择的身份验证和授权方法,包括本地 SAML 支持、AWS Cognoto、AWS IAM 等,为您的用户提供安全访问。有关更多信息,请参阅通过控制面板使用 SAML身份和访问管理

通过使用军用级 AES-256 AWS 密钥管理服务(KMS)密钥对磁盘、日志文件和自动快照上的数据进行加密,保护您的数据免受攻击。使用 TLS 1.2 加密节点之间的传输中数据。

使用一种或多种访问控制功能(例如 AWS IAM 策略或精细访问控制)为用户提供一种受控且可预测的方式来查询业务数据并监控集群配置。

通过使用 AWS 身份和资源策略将身份和资源与特定的允许/拒绝操作相关联,保护您的域的边界。使用 Amazon Virtual Private Cloud(VPC)和 Amazon VPC 安全组创建逻辑上隔离的网络,以仅允许来自已知实体的流量。

监控域的配置更改、跟踪用户活动并审核数据请求,包括详细的连接属性。使用 AWS CloudTrail 日志记录和 OpenSearch 审核日志,以监控配置 API 的使用和对数据的请求。

保护您的数据免受安全漏洞的影响。为了尽可能减少对版本升级的需求,OpenSearch Service 为所有受支持的 OpenSearch 和 Elasticsearch 版本提供向后兼容的安全补丁。

使用高级安全控制保护对敏感或机密数据的访问。使用索引、文档或字段级别的安全性来限制对特定索引、文档或字段的访问。

使用通过 AWS SDK 发送的 Sigv4 签名请求或使用 AWS 命令行界面(CLI)与您的 OpenSearch 域进行安全通信。

满足组织的严格合规和监管要求。Amazon OpenSearch Service 是多个行业标准合规性计划的一部分,包括 HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO 和 CSA STAR、FIPS 140-2

从不同来源收集不同格式的日志,标准化和比较安全日志数据。

安全性资源

显示 1 - 8 (13)

页面主题

安全常见问题
4

安全常见问题

Amazon OpenSearch Service 提供多种安全特性,符合 HIPAA 标准及 PCI DSS、SOC, ISO 和 FedRamp 标准,以满足您的安全和合规性要求。Amazon OpenSearch Service 管理 API 的访问,例如创建和扩展域等操作,可通过 AWS Identity and Access Management(IAM)策略进行控制。

Amazon OpenSearch Service 域可以配置为通过 VPC 内的端点或互联网的公有端点进行访问。VPC 终端节点的网络访问由安全组控制,对于公有终端节点,可通过 IP 地址授予或限制访问。

除了基于网络的访问控制之外,Amazon OpenSearch Service 还提供通过 IAM 的用户身份验证和使用用户名和密码的基本身份验证。您可以在域级别(通过域访问策略)以及索引、文档和字段级别(通过 OpenSearch 支持的细粒度访问控制特性)进行授权。此外,细粒度访问控制特性还为 OpenSearch Dashboards 和 Kibana 扩展了只读视图和安全的多租户支持。

Amazon OpenSearch Service 还支持与 Amazon Cognito 集成,以便您的最终用户通过使用 SAML 2.0 的 Microsoft Active Directory、Amazon Cognito 用户池等企业身份提供商登录 OpenSearch Dashboards 和 Kibana。登录后,Amazon Cognito 会使用相应的 IAM 主体建立会话,可提供对 Amazon OpenSearch Service 域的访问权限。这些 IAM 主体也可以与 OpenSearch 支持的细粒度访问控制特性结合使用。

Amazon OpenSearch Service 有三个主要安全层:网络、域访问策略和细粒度访问控制。第一个安全层是网络,它决定请求是否会到达域。我们支持通过互联网的公共访问,也支持通过 VPC 中指定安全规则组的 VPC 访问。域访问策略是第二个安全层。当请求到达域端点后,域访问策略允许或拒绝请求访问给定 URL。域访问策略在请求本身到达 OpenSearch/Elasticsearch 前在域边缘接受或拒绝请求。第三个也是最后一个安全层是细粒度访问控制。域访问策略允许请求到达域终端节点后,细粒度访问控制对用户凭证进行评估,并对用户进行身份验证或拒绝请求。如果细粒度访问控制对用户进行了身份验证,它将获取映射到该用户的所有角色,并使用完整的权限集来确定用户可以访问哪些数据。

是的,Amazon OpenSearch Service 支持通过 AWS Key Management Service (KMS) 进行静态加密,通过 TLS 进行节点到节点加密,并且要求客户端通过 HTTPS 进行通信。静态加密功能可加密分片、日志文件、交换文件和 S3 中的自动快照。您可以使用 AWS 托管的密钥或选择您自己的密钥。节点到节点支持使用 TLS 加密节点之间的所有通信。Amazon OpenSearch Service 在域的整个生命周期自动部署和轮换证书。如果您要求客户端通过 HTTPS 进行通信,您还可以指定最低 TLS 版本。

启用 VPC 访问后,Amazon OpenSearch Service 的端点仅能在客户 VPC 内进行访问。若要使用笔记本电脑从 VPC 外部访问 OpenSearch Dashboards 和 Kibana,您需要使用 VPN 或 VPC Direct Connect 将笔记本电脑连接至该 VPC。