Ihre Such- und Protokollanalytikdaten mit Amazon OpenSearch Service prüfen und sichern
Erfüllen Sie Ihre Sicherheitsstandards für Authentifizierung, Autorisierung, Verschlüsselung, Prüfung und die Einhaltung von Vorschriften und halten Sie sie dauerhaft ein.
Analytiklösungen, die auf großen Datenmengen basieren, sind besonders anfällig für Sicherheitsrisiken und Sicherheitsverletzungen. Sie benötigen eine robuste Sicherheits- und Compliance-Lösung mit diesen Funktionen:
- Sicheres Hosten sensibler Workloads
- Schützen von und Begrenzen des Zugangs zu vertraulichen Daten
- Integrieren mit externen Identitätsanbietern
- Verschlüsseln von Daten im Ruhezustand und bei deren Übertragung
- Überprüfen von Benutzeraktivitäten und Konfigurationsaktualisierungen
- Konfigurieren des programmatischen Zugriffs für Ihre benutzerdefinierten Anwendungen und andere AWS-Services
Wichtige Sicherheitsfunktionen von OpenSearch
Authentifizierung und Autorisierung
Bieten Sie Ihren Benutzern einen sicheren Zugang mit Authentifizierungs- und Autorisierungsmethoden Ihrer Wahl, einschließlich nativer SAML-Unterstützung, AWS Cognito, AWS IAM und mehr. Weitere Informationen finden Sie unter Verwendung von SAML mit Dashboards und Identitäts- und Zugriffsmanagement.
Verschlüsselung
Schützen Sie Ihre Daten vor Angreifern, indem Sie die Verschlüsselung der Daten auf der Festplatte, der Protokolldateien und der automatischen Snapshots mit militärtauglichen AES-256-Schlüsseln von AWS Key Management Service (KMS) aktivieren. Verschlüsseln Sie Daten bei der Übertragung zwischen Knoten mit TLS 1.2.
Präzise Zugriffskontrolle
Verwenden Sie eine oder mehrere Zugriffskontrollfunktionen wie AWS-IAM-Richtlinien oder eine fein abgestufte Zugriffskontrolle, um Benutzern eine kontrollierte und vorhersehbare Möglichkeit zur Abfrage von Geschäftsdaten und zur Überwachung der Clusterkonfiguration zu bieten.
Zugriffsrichtlinien und Netzwerkisolierung
Sichern Sie den Zugang zu Ihrer Domäne, indem Sie AWS-Identitäts- und Ressourcenrichtlinien verwenden, um Identitäten und Ressourcen mit bestimmten erlaubten/verbotenen Aktionen zu verknüpfen. Erstellen Sie logisch isolierte Netzwerke mit einer Amazon Virtual Private Cloud (VPC) und Amazon-VPC-Sicherheitsgruppen, um den Datenverkehr nur von bekannten Unternehmen zuzulassen.
Prüfungsprotokollierung und Compliance
Überwachen Sie Konfigurationsänderungen an Ihrer Domäne, verfolgen Sie Benutzeraktivitäten und prüfen Sie Datenanfragen – einschließlich detaillierter Verbindungsattribute. Verwenden Sie die AWS-CloudTrail-Protokollierung und die OpenSearch-Prüfungsprotokolle, um die Nutzung von Konfigurations-APIs und Anfragen an Ihre Daten zu überwachen.
Sicherheitsupgrades und -Patches
Schützen Sie Ihre Daten vor Sicherheitslücken. Um die Notwendigkeit von Versions-Upgrades zu minimieren, bietet OpenSearch Service rückwärtskompatible Sicherheits-Patches und Upgrades für alle unterstützten Versionen von OpenSearch und Elasticsearch.
Sicherheit auf Index-, Dokument- und Feldebene
Schützen Sie den Zugriff auf Ihre sensiblen oder vertraulichen Daten mit fortschrittlichen Sicherheitskontrollen. Verwenden Sie die Sicherheit auf Index-, Dokument- oder Feldebene, um den Zugriff auf bestimmte Indizes, Dokumente oder Felder zu beschränken.
Geschützter programmatischer Zugriff
Kommunizieren Sie sicher mit Ihrer OpenSearch-Domäne über Sigv4-signierte Anfragen, die über AWS-SDKs oder die AWS-Befehlszeilenschnittstelle (CLI) gesendet werden.
Cloud-Compliance und Governance aktivieren
Erfüllen Sie die strengen Compliance- und Governance-Anforderungen Ihres Unternehmens. Amazon OpenSearch Service ist Teil mehrerer Industriestandard-Compliance-Programme wie HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO und CSA STAR, FIPS 140-2.
Sicherheitsanalysen
Sammeln Sie Protokolle aus verschiedenen Quellen mit unterschiedlichen Formaten, normalisieren und vergleichen Sie Sicherheitsprotokolldaten.
Ressourcen
Öffentlicher Zeitplan für OpenSearch
AWS Data Lab bietet beschleunigte, gemeinsame Entwicklungsprojekte zwischen Kunden und technischen Ressourcen von AWS, um greifbare Lösungen, die Modernisierungsinitiativen für Daten und Analytik beschleunigen, zu erstellen.
Nutzen Sie die Analytik- und Daten-Schulungen und -Zertifizierung von AWS, um Ihre Fähigkeiten auszubauen und Ihr Fachwissen zu validieren.
Was ist die Sicherheitsanalyse?
Aufbau von Sicherheitsoperationen mit Amazon OpenSearch Service
Demo: Einrichten von Sicherheitsoperationen
Webinar zur Sicherung Ihrer Protokoll- und Analytikdaten mit Amazon OpenSearch Service.
Blogs
Identifizieren und beheben Sie Sicherheitsbedrohungen für Ihr Unternehmen mithilfe von Sicherheitsanalysen mit Amazon OpenSearch Service
von Kevin Fallis und Jimish Shah, 14.03.2023
Sicherheit auf Feldebene im Amazon OpenSearch Service
von Satyanarayana Adimula, 11.08.2022
Analysieren Sie Active-Directory-Ereignisprotokolle mit Amazon OpenSearch
von Pavankumar Kasani, Ashok Srirama und Rushikesh Jagtap, 13.07.2022
Aufbau eines SAML-Verbunds für Amazon OpenSearch Service mit Okta
von Raghavarao Sodabathina, Jana Gnanachandran und Rudy Collado, am 21.04.2022
Wie Sie AWS Security Hub und Amazon OpenSearch Service für den SIEM verwenden
von Ely Kahn, Aashmeet Kalra, Grant Joslyn, Akihiro Nakajima und Anthony Pasquariello, 21.03.2022
Konfigurieren Sie SAML Single Sign-On für Kibana mit AD FS auf Amazon Elasticsearch Service
von Sajeev Attiyil Bhaskaran und Jagadeesh Pusapadi, am 07.09.2021
Häufig gestellte Fragen zur Sicherheit
F: Wie kann ich meine Amazon OpenSearch Service-Domain sichern?
Der Amazon OpenSearch Service bietet mehrere Sicherheitsfunktionen und ist HIPAA-fähig und entspricht den PCI DSS-, SOC-, ISO- und FedRamp-Standards, sodass Sie Ihre Sicherheits- und Compliance-Anforderungen erfüllen können. Der Zugriff auf die Amazon OpenSearch Service-Management-APIs für Vorgänge wie das Erstellen und Skalieren von Domains wird durch die Richtlinien von AWS Identity and Access Management (IAM) gesteuert.
Amazon OpenSearch Service-Domains können so konfiguriert werden, dass sie über einen Endpunkt innerhalb Ihrer VPC oder über einen öffentlichen Endpunkt zugänglich sind, auf den das Internet zugegriffen werden kann. Der Netzwerkzugriff für VPC-Endpunkte wird über Sicherheitsgruppen gesteuert, und für öffentliche Endpunkte kann der Zugriff über die IP-Adresse gewährt oder eingeschränkt werden.
Neben der netzwerkbasierten Zugriffskontrolle bietet Amazon OpenSearch Service eine Benutzerauthentifizierung über IAM und eine Standardauthentifizierung mit Benutzername und Passwort. Die Autorisierung kann sowohl auf Domänenebene (über Domänenzugriffsrichtlinien) als auch auf Index-, Dokument- und Feldebene (über die differenzierte Zugriffssteuerungsfunktion von OpenSearch) erteilt werden. Darüber hinaus erweitert die feinkörnige Zugriffskontrolle OpenSearch-Dashboards und Kibana mit schreibgeschützten Ansichten und sicherer Unterstützung für mehrere Mandanten.
Amazon OpenSearch Service unterstützt auch eine Integration mit Amazon Cognito, damit sich Ihre Endbenutzer über Enterprise Identity Provider wie Microsoft Active Directory mit SAML 2.0, Amazon Cognito User Pools und mehr bei OpenSearch-Dashboards und Kibana anmelden können. Sobald Sie sich angemeldet haben, richtet Amazon Cognito eine Sitzung mit dem entsprechenden IAM-Prinzip ein, der den Zugriff auf die Amazon OpenSearch Service-Domain ermöglicht. Diese IAM-Prinzipien können dann mit der detaillierten Zugriffskontrollfunktion verwendet werden, die von OpenSearch unterstützt wird.
F: Wie funktionieren Sicherheitsauthentifizierung und Autorisierung in Amazon OpenSearch Service?
Die Sicherheit von Amazon OpenSearch Service besteht aus drei Hauptschichten: Netzwerk, Domänenzugriffsrichtlinien und differenzierte Zugriffssteuerung. Die erste Sicherheitsschicht ist das Netzwerk, das bestimmt, ob Anforderungen eine Domäne erreichen. Wir unterstützen den öffentlichen Zugriff über das Internet oder den VPC-Zugriff, der auf bestimmte Sicherheitsgruppen in Ihrer VPC beschränkt ist. Die Domänenzugriffsrichtlinie ist die zweite Sicherheitsschicht. Nachdem eine Anforderung einen Domänenendpunkt erreicht hat, erlaubt oder verweigert die Domänenzugriffsrichtlinie den Anforderungszugriff auf eine bestimmte URL. Die Domänenzugriffsrichtlinie akzeptiert oder lehnt Anforderungen an der Grenze der Domäne ab, bevor sie OpenSearch/Elasticsearch selbst erreichen. Die dritte und letzte Sicherheitsschicht ist die fein abgestimmte Zugriffskontrolle. Nachdem eine Domänenzugriffsrichtlinie es einer Anforderung ermöglicht, einen Domänenendpunkt zu erreichen, wertet eine differenzierte Zugriffssteuerung die Benutzeranmeldeinformationen aus und authentifiziert den Benutzer entweder oder lehnt die Anforderung ab. Wenn eine detaillierte Zugriffskontrolle den Benutzer authentifiziert, ruft sie alle diesem Benutzer zugewiesenen Rollen ab und verwendet den vollständigen Satz von Berechtigungen, um zu bestimmen, auf welche Daten der Benutzer Zugriff hat.
F: Unterstützt Amazon OpenSearch Service die Verschlüsselung?
Ja, Amazon OpenSearch Service unterstützt die Verschlüsselung in Ruhe über den AWS Key Management Service (KMS), die Knoten-zu-Knoten-Verschlüsselung über TLS und die Möglichkeit, von Clients die Kommunikation über HTTPS zu verlangen. Die Verschlüsselung im Ruhezustand verschlüsselt Shards, Protokolldateien, Auslagerungsdateien und automatisierte S3-Snapshots. Sie können AWS-verwaltete Schlüssel verwenden oder einen eigenen auswählen. Die Knoten-zu-Knoten-Verschlüsselung aktiviert TLS für die gesamte Kommunikation zwischen Knoten. Amazon OpenSearch Service stellt Zertifikate automatisch während der gesamten Lebensdauer der Domäne bereit und dreht sie. Wenn Sie von Ihren Clients eine Kommunikation über HTTPS verlangen, können Sie auch die minimale TLS-Version angeben.
F: Wenn ich den VPC-Zugriff für meine Amazon-OpenSearch-Service-Domäne einrichte, wie kann ich dann auf OpenSearch-Dashboards und Kibana zugreifen?
Sobald der VPC-Zugriff aktiviert wurde, ist der Endpunkt für Amazon OpenSearch Service nur innerhalb der Kunden-VPC zugänglich. Um mit Ihrem Laptop von außerhalb der VPC auf OpenSearch Dashboards und Kibana zugreifen zu können, müssen Sie den Laptop über VPN oder VPC Direct Connect mit der VPC verbinden.
Weitere Informationen zu den Preisen von Amazon OpenSearch Service.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit der Entwicklung in der AWS-Managementkonsole.