Audite e proteja seus dados de pesquisa e de análise de logs com o Amazon OpenSearch Service
Cumpra e mantenha seus requisitos de segurança para autenticação, autorização, criptografia, auditoria e conformidade regulatória.
As soluções de análise baseadas em grandes volumes de dados são especialmente suscetíveis a riscos e violações de segurança. É necessária uma solução robusta de segurança e conformidade que tenha estes recursos:
- Hospedar com segurança workloads sigilosas
- Proteger e limitar o acesso a dados confidenciais
- Integrar-se a prestadores de serviço de identidade externos
- Proteger dados em repouso e em trânsito
- Auditar a atividade do usuário e as atualizações das configurações
- Configurar o acesso programático para seus aplicativos personalizados e outros produtos da AWS
Principais recursos de segurança do OpenSearch
Autenticação e autorização
Forneça acesso protegido aos seus usuários, por meio dos métodos de autenticação e autorização de sua preferência, incluindo suporte nativo ao SAML, ao AWS Cognito, ao AWS IAM e outros. Para obter mais informações, consulte como usar SAML com painéis e Gerenciamento de identidade e acesso.
Criptografia
Proteja seus dados contra invasores habilitando criptografia de dados em disco, arquivos de log e snapshots automáticos usando chaves AES-256 de nível militar do AWS Key Management Service (KMS). Criptografe dados em trânsito entre nós usando TLS 1.2.
Controle de acesso detalhado
Use um ou mais recursos de controle de acesso, como políticas do AWS IAM ou controles de acesso detalhado, para fornecer aos usuários uma maneira controlada e previsível de consultar dados de negócios e monitorar a configuração dos clusters.
Políticas de acesso e isolamento de rede
Proteja o perímetro do seu domínio usando políticas de identidade e recursos da AWS para associar identidades e recursos a ações específicas de permitir/negar. Crie redes logicamente isoladas usando uma Amazon Virtual Private Cloud (VPC) e grupos de segurança da Amazon VPC para permitir o tráfego somente de entidades conhecidas.
Registro em log de auditoria e conformidade
Monitore mudanças nas configurações do seu domínio, rastreie atividades de usuários e audite solicitações de dados, incluindo atributos detalhados de conexão. Use registros em log do AWS CloudTrail e logs de auditoria do OpenSearch para monitorar o uso de APIs e solicitações de configuração para seus dados.
Upgrades e patches de segurança
Proteja seus dados contra vulnerabilidades de segurança. Para minimizar a necessidade de upgrades de versões, o OpenSearch Service fornece patches de segurança e upgrades compatíveis com versões anteriores para todas as versões compatíveis do OpenSearch e do Elasticsearch.
Segurança de índice, documento e campo
Assegure o acesso aos seus dados sigilosos ou confidenciais usando controles de segurança avançados. Use segurança em nível de índice, documento ou campo para limitar o acesso a índices, documentos ou campos específicos.
Assegure o acesso programático
Comunique-se com segurança com seu domínio do OpenSearch usando solicitações assinadas Sigv4 enviadas por meio de SDKs da AWS ou da AWS Command Line Interface (AWS CLI).
Habilitar conformidade e governança
Cumpra os requisitos rigorosos de conformidade e governança da sua organização. O Amazon OpenSearch Service é parte de diversos programas de conformidade padrão do setor, incluindo HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO & CSA STAR, FIPS 140-2.
Análises de segurança
Colete registros de diferentes fontes com formatos diferentes, normalize e compare dados de log de segurança.
Recursos
Public roadmap for OpenSearch (Roteiro público para o OpenSearch)
O AWS Data Lab oferece contratos de engenharia acelerados e conjuntos entre clientes e recursos técnicos da AWS para criar conteúdo de entrega tangível capaz de acelerar iniciativas de modernização de dados e de análise.
AWS Data & Analytics Training and Certification para desenvolver suas habilidades e validar sua experiência.
O que é análise de segurança?
Building security operations with Amazon OpenSearch Service (Como criar operações de segurança com o Amazon OpenSearch Service)
Demo: Setting up security operations (Demonstração: configuração de operações de segurança)
Webinar Securing your log and analytics data with Amazon OpenSearch Service (Proteger seus dados de log e de análise com o Amazon OpenSearch Service).
Blogs
Identifique e corrija ameaças à segurança de sua empresa usando análises de segurança com o Amazon OpenSearch Service
por Kevin Fallis e Jimish Shah, 14/03/2023
Field-level security in Amazon OpenSearch Service (Segurança em nível de campo no Amazon OpenSearch Service)
de Satyanarayana Adimula, 08/11/2022
Analyze Active Directory event logs using Amazon OpenSearch (Analise logs de evento do Active Directory usando o Amazon OpenSearch).
por Pavankumar Kasani, Ashok Srirama e Rushikesh Jagtap, 13/07/2022
Building SAML federation for Amazon OpenSearch Service with Okta (Criar federação SAML para o Amazon OpenSearch Service com o Okta).
por Raghavarao Sodabathina, Jana Gnanachandran e Rudy Collado, em 21/04/2022
How to use AWS Security Hub and Amazon OpenSearch Service for SIEM (Como usar o AWS Security Hub e o Amazon OpenSearch Service para SIEM).
por Ely Kahn, Aashmeet Kalra, Grant Joslyn, Akihiro Nakajima e Anthony Pasquariello, 21/03/2022
Configure SAML single sign-on for Kibana with AD FS on Amazon Elasticsearch Service (Configurar o login único SAML para Kibana com AD FS no Amazon Elasticsearch Service)
por Sajeev Attiyil Bhaskaran e Jagadeesh Pusapadi, em 09/07/2021
Perguntas frequentes sobre segurança
P: Como posso proteger um domínio do Amazon OpenSearch Service?
O Amazon OpenSearch Service fornece vários recursos de segurança, é elegível para HIPAA e compatível com os padrões PCI DSS, SOC, ISO e FedRamp, para poder atender às suas necessidades de segurança e de conformidade. O acesso às APIs de gerenciamento do Amazon OpenSearch Service para operações como criação e escalabilidade de domínios é controlado com políticas do AWS Identity and Access Management (IAM).
Os domínios do Amazon OpenSearch Service podem ser configurados para serem acessíveis com um endpoint no VPC ou com um endpoint público acessível à Internet. O acesso à rede para endpoints da VPC é controlado com grupos de segurança e, para endpoints públicos, o acesso pode ser concedido ou restringido pelo endereço IP.
Além do controle de acesso baseado na rede, o Amazon OpenSearch Service fornece autenticação de usuário via IAM e autenticação básica usando nome de usuário e senha. A autorização pode ser concedida no nível do domínio (via Políticas de acesso ao domínio), bem como no nível do índice, documento e campo (com o recurso de controle de acesso detalhado desenvolvido pelo OpenSearch). Além disso, o recurso de controle de acesso detalhado estende o OpenSearch Dashboards e o Kibana com visualizações somente leitura e suporte seguro a vários locatários.
O Amazon OpenSearch Service também oferece suporte à integração com o Amazon Cognito, para permitir que os usuários finais façam login no OpenSearch Dashboards e no Kibana por meio de provedores de identidade corporativos, como o Microsoft Active Directory usando SAML 2.0, grupos de usuários do Amazon Cognito e muito mais. Depois de fazer login, o Amazon Cognito estabelece uma sessão usando a entidade principal apropriada do IAM, que oferece acesso ao domínio do Amazon OpenSearch Service. Essas entidades principais do IAM estão disponíveis para uso com o recurso de controle de acesso detalhado desenvolvido pelo OpenSearch.
P: Como a autenticação e autorização de segurança funcionam no Amazon OpenSearch Service?
A segurança do Amazon OpenSearch Service possui três camadas principais: rede, políticas de acesso ao domínio e controle de acesso detalhado. A primeira camada de segurança é a rede, que determina se as solicitações atingem um domínio. Oferecemos o acesso público via internet ou acesso de VPC limitado a grupos de segurança específicos em seu VPC. A política de acesso ao domínio é a segunda camada de segurança. Depois que uma solicitação atinge um endpoint do domínio, a Política de acesso ao domínio permite ou nega o acesso à solicitação para um determinado URL. A Política de acesso ao domínio aceita ou rejeita solicitações na borda do domínio, antes que elas atinjam o próprio OpenSearch/Elasticsearch. A terceira e última camada de segurança é o controle de acesso detalhado. Depois que uma Política de Acesso ao Domínio permite que uma solicitação alcance um endpoint do domínio, o controle de acesso minucioso avalia as credenciais do usuário e autentica o usuário ou nega a solicitação. Se o controle de acesso detalhado autenticar o usuário, ele buscará todas as funções mapeadas para esse usuário e usará o conjunto completo de permissões para determinar a quais dados o usuário tem acesso.
P: O Amazon OpenSearch Service oferece suporte para criptografia?
Sim, o Amazon OpenSearch Service oferece suporte à criptografia em repouso por meio do AWS Key Management Service (KMS), criptografia nó a nó por TLS e a capacidade de exigir que os clientes se comuniquem por HTTPS. A criptografia de dados em repouso criptografa fragmentos, arquivos de log, arquivos de troca e snapshots do S3 automáticos. Você pode usar chaves gerenciadas pela AWS ou escolher uma de sua preferência. A criptografia nó a nó habilita o TLS para todas as comunicações entre os nós. O Amazon OpenSearch Service implanta e alterna certificados automaticamente ao longo da vida útil do domínio. Se precisar que seus clientes se comuniquem por HTTPS, também poderá especificar a versão mínima do TLS.
P: Se eu configurar o acesso à VPC para o meu domínio do Amazon OpenSearch Service, como poderei acessar o OpenSearch Dashboards e o Kibana?
Quando o acesso à VPC é habilitado, o endpoint do Amazon OpenSearch Service somente pode ser acessado na VPC do cliente. Para usar o laptop para acessar o OpenSearch Dashboards e o Kibana de fora da VPC, é necessário conectá-lo à VPC usando uma VPN ou o Direct Connect da VPC.
Obtenha acesso instantâneo ao nível gratuito da AWS.