使用 Amazon OpenSearch Service 稽核並保障搜尋和日誌分析資料的安全
滿足並維護身分驗證、授權、加密、稽核和法規合規方面的安全性要求。
以大量資料作為建構基礎的分析解決方案特別容易有安全風險和資料外洩之虞。 您需要具備以下功能的健全安全和合規解決方案:
- 放心地託管敏感的工作負載
- 保護並限制機密資料的存取權
- 與第三方身份提供者整合
- 保護靜態資料和傳輸中的資料
- 針對使用者活動與組態更新進行稽核
- 設定自訂應用程式與其他 AWS 服務的程式設計式存取
OpenSearch 的主要安全功能
身分驗證和授權
為使用者提供安全存取權,使用您選擇的身分驗證與授權方式,包括原生 SAML 支援、AWS Cognito、AWS IAM 等。如需詳細資訊,請參閱透過儀表板使用 SAML 以及身分和存取管理。
加密
透過啟用磁碟資料、日誌檔和自動產生的截圖的加密功能,使用軍用級的 AES-256 AWS 金鑰管理服務 (KMS) 來保護您的資料,使其不受攻擊者威脅。使用 TLS 1.2 加密在節點之間傳輸中的資料。
精細的存取控制
使用 AWS IAM 原則等一或多個存取控制功能或精密的存取控制,為使用者提供受控的可預期方式以供其查詢業務資料和監控叢集組態。
存取原則和網路隔離
利用 AWS 身分和資源原則來保障網域的周邊,在身分和資源與特定的允許/拒絕動作之間建立關聯。使用 Amazon 虛擬私有雲端 (VPC) 以及 Amazon VPC 安全群組建立以邏輯的方式隔離的網路,以僅允許來自已知實體的流量。
對日誌記錄和合規性進行稽核
監控網域的組態變更、追蹤使用者活動並針對資料 (包括詳細的連線屬性) 請求進行稽核。使用 AWS CloudTrail 日誌記錄和 OpenSearch 稽核日誌來監控組態 API 的使用以及對您資料的請求。
安全升級程式與修補程式
保護您的資料免受安全弱點影響。為了盡量降低版本升級的必要性,OpenSearch Service 為 OpenSearch 和 Elasticsearch 的所有支援版本提供與舊版相容的安全修補程式和升級程式。
索引、文件和欄位安全性
使用先進的安全控管機制保障敏感或機密資料的存取安全。使用索引、文件或欄位層級的安全性來限制對特定索引、文件或欄位的存取。
安全的程式設計式存取
使用透過 AWS SDK 傳送的 Sigv4 簽署請求安全地與 OpenSearch 網域之間進行通訊或使用 AWS Command Line Interface (CLI)。
啟用合規性與管控
符合貴組織嚴格的合規與管控要求。Amazon OpenSearch Service 符合多種產業標準合規計畫,包括 HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO & CSA STAR、FIPS 140-2 等。
安全分析
從不同來源收集不同格式的日誌,標準化和比較安全日誌資料。
資源
OpenSearch 的公有藍圖
AWS 資料實驗室在客戶和 AWS 技術資源之間提供加速、緊密的工程互動,以建立實際可交付的成果,以加快資料和分析現代化計劃的速度。
AWS 資料和分析的培訓與認證,以建立技能並驗證您的專業知識。
什麼是安全分析?
部落格
使用 Amazon OpenSearch Service 的安全分析功能,識別並修復企業的安全威脅
作者︰Kevin Fallis 和 Jimish Shah,2023 年 3 月 14 日
Amazon OpenSearch Service 中的現場層級安全性
作者︰Satyanarayana Adimula,2022 年 11 月 8 日
使用 Amazon OpenSearch 分析 Active Directory 事件日誌
作者︰Pavankumar Kasani、Ashok Srirama 和 Rushikesh Jagtap,2022 年 7 月 13 日
打造 Okta 與 Amazon OpenSearch Service 的聯合 SAML
作者︰Raghavarao Sodabathina、Jana Gnanachandran 和 Rudy Collado,2022 年 4 月 21 日
如何將 AWS Security Hub 和 Amazon OpenSearch Service 用於 SIEM。
作者︰Ely Kahn、Aashmeet Kalra、Grant Joslyn、Akihiro Nakajima 和 Anthony Pasquariello,2022 年 3 月 21 日
在 Amazon Elasticsearch Service 上使用 AD FS 為 Kibana 設定 SAML 單一登入
作者︰Sajeev Attiyil Bhaskaran 和 Jagadeesh Pusapadi,2021 年 7 月 9 日
安全常見問答集
問:如何保護 Amazon OpenSearch Service 網域的安全?
Amazon OpenSearch Service 提供多種安全功能,並且符合 HIPAA 要求以及 PCI DSS、SOC、ISO 和 FedRamp 標準,因此您可以滿足各種安全性和合規性需求。使用 AWS Identity and Access Management (IAM) 政策控制對 Amazon OpenSearch Service 管理 API 的存取,以執行建立和擴展網域等操作。
Amazon OpenSearch Service 網域可設定為透過您的 VPC 內的端點,或者可透過網際網路存取的公共端點進行存取。VPC 端點的網路存取由安全群組控制,而公共端點的存取則可透過 IP 地址授予或限制。
除了網路存取控制之外,Amazon OpenSearch Service 還提供透過 IAM 進行使用者身分驗證,以及透過使用者名稱和密碼進行基本身分驗證。可以在網域級 (透過網域存取政策) 以及索引、文件和欄位級 (透過由 OpenSearch 提供的細緻存取控制功能) 授予授權。此外,細緻存取控制功能透過唯讀檢視和安全的多租用戶支援來擴展 OpenSearch 儀表板和 Kibana。
Amazon OpenSearch Service 還支援與 Amazon Cognito 進行整合,讓您的最終使用者能夠透過企業身分提供程式 (例如,使用 SAML 2.0 的 Microsoft Active Directory、Amazon Cognito 使用者集區等) 登入 OpenSearch 儀表板和 Kibana。登入後,Amazon Cognito 可使用適當的 IAM 主體建立工作階段,這可提供對 Amazon OpenSearch Service 網域的存取。然後可以將這些 IAM 主體與 OpenSearch 支援的細緻存取控制功能結合使用。
問:安全認證和授權在 Amazon OpenSearch Service 中如何工作?
Amazon OpenSearch Service 安全性具有三個主要層級:網路、網域存取政策和細緻存取控制。第一安全層是網路,它確定請求是否到達網域。我們支援透過網際網路的公共存取,或僅限 VPC 中特定安全群組的 VPC 存取。網域存取政策是第二安全層。請求到達網域端點後,網域存取政策允許或拒絕請求對給定 URL 的存取。網域存取政策在到達 OpenSearch/Elasticsearch 本身之前,在網域邊緣接受或拒絕請求。第三層也是最後一層安全層是細緻存取控制。網域存取政策允許請求到達網域端點後,細緻存取控制將評估使用者登入資料,並驗證使用者身分或拒絕請求。若細緻存取控制對使用者進行身分驗證,它將獲取映射至該使用者的所有角色,並使用完整的許可集來確定使用者有權存取的資料。
問:Amazon OpenSearch Service 是否支援加密?
是的,Amazon OpenSearch Service 支援透過 AWS Key Management Service (KMS) 進行靜態加密,透過 TLS 進行節點至節點加密,並且能夠要求用戶端進行 HTTPS 通訊。靜態加密對分區、日誌檔案、交換檔案和自動 S3 快照進行加密。您可以使用 AWS 管理的金鑰,也可以選擇自己的其中一個金鑰。節點至節點加密針對節點之間的所有通訊啟用 TLS。Amazon OpenSearch Service 在網域的整個生命週期內自動部署和輪換憑證。若需要用戶端透過 HTTPS 進行通訊,則還可指定最低 TLS 版本。
問:如果設定 Amazon OpenSearch Service 網域的 VPC 存取,要如何存取 OpenSearch 儀表板和 Kibana?
啟用 VPC 存取之後,只能在客戶 VPC 內存取 Amazon OpenSearch Service 的端點。若要使用筆記型電腦從 VPC 外存取 OpenSearch 儀表板和 Kibana,需要使用 VPN 或 VPC Direct Connect 將筆記型電腦連接到 VPC。