内容简介:2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供。免费提供的核心安全功能如下:
0、背景
2019年5月21日,Elastic官方发布消息: Elastic Stack 新版本6.8.0 和7.1.0的核心安全功能现免费提供。
这意味着用户现在能够对网络流量进行加密、创建和管理用户、定义能够保护索引和集群级别访问权限的角色,并且使用 Spaces 为 Kibana
提供全面保护。
免费提供的核心安全功能如下:
1)TLS 功能。 可对通信进行加密;
2)文件和原生 Realm。 可用于创建和管理用户;
3)基于角色的访问控制。 可用于控制用户对集群 API 和索引的访问权限;通过针对 Kibana Spaces 的安全功能,还可允许在Kibana 中实现多租户。
网上千篇一律都是这篇 通稿
,不实践一把,感觉还是不好理解。
结合大家最关心的问题,从下面几个 认知维度
,对Elasticsearch安全进行全面探讨。
1、x-pack演变
-
5.X版本之前:没有x-pack,是独立的:security安全,watch查看,alert警告等独立单元。
-
5.X版本:对原本的安全,警告,监视,图形和报告做了一个封装,形成了x-pack。
-
6.3 版本之前:需要额外安装。
-
6.3版本及之后:已经集成在一起发布,无需额外安装,基础安全属于付费黄金版内容。 7 .1版本:基础安全免费。
2、开源!=免费
2018年2月28日X-Pack 特性的所有代码开源,主要包含:
Security、Monitoring、Alerting、Graph、Reporting、专门的 APM UI、Canvas、Elasticsearch SQL、Search Profiler、Grok Debugger、Elastic Maps Service zoom levels 以及 Machine Learning。
2019年5月21日免费开放了文章开头的基础安全功能,在这之前的版本都是仅有1个月的适用期限的。
如下功能点仍然是收费的。
付费黄金版&白金版提供功能:
-
审核日志
-
IP 筛选
-
LDAP、PKI*和活动目录身份验证
-
Elasticsearch 令牌服务
付费白金版提供安全功能:
-
单点登录身份验证(SAML、Kerberos*)
-
基于属性的权限控制
-
字段和文档级别安全性
-
第三方整合 (自定义身份验证和授权 Realm)
-
授权 Realm
-
静态数据加密支持
FIPS 140-2 模式
官方地址:
https://www.elastic.co/cn/subscriptions
3、安全部分免费之前,大家怎么保证基础安全?
场景一:全部“裸奔”,相信这在国内占据了非常大的比重。
内网部署,不对外提供服务。或者ES作为业务基础支撑,不公网开放9200等常用端口,开放的是业务的服务端口。
可能 暴露问题 :公司或团队内部开放9200、5601端口,基本head插件、kibana都能连接,极易导致线上索引或数据可能被 误删
。
场景二:加了简单防护。
一般使用Nginx身份认证+防火墙策略控制。
场景三:整合使用了第三方安全认证方案。
比如:SearchGuard、ReadonlyREST。
场景四:付费购买了Elastic-Xpack黄金版或白金版服务。
一般是银行等土豪大客户,对安全、预警、机器学习等付费功能需求迫切,如:宁波银行付费购买白金服务。
4、基于免费安全认证,我们能做什么?
4.1 TLS 功能。
可对通信进行加密。
实践一把
。在本机win10环境,部署了2节点7.1集群。
部署官网已经介绍非常详细了:
https://www.elastic.co/cn/blog/getting-started-with-elasticsearch-security。
核心步骤:
-
第一步:下载+基础配置,2ES node+1kibana。
-
第二步:配置TLS和认证。
bin/elasticsearch-certutil cert -out config/elastic-certificates.p12 -pass ""
注意
:
1、此配置适用于具有多个节点的集群以及具有侦听外部接口的单个节点的集群。
2、使用环回接口的单节点集群没有此要求。
-
第三步:设置ES等相关登录密码。
bin/elasticsearch-setup-passwords auto
自动生成相对安全,也可以手动设置密码。
-
第四步:配置kibana。
自此,多节点集群之间的通信在传输层通过加密通信加了安全性(TLS / SSL)保护。
4.2 文件和原生 Realm。
可用于创建和管理用户。
1、head插件安全登录:
2、kibana安全登录:
相比于未使用x-pack安全防护的集群,节点之间的通信wireshark抓包已不能解密。
4.3 基于角色的访问控制。
可用于控制用户对集群 API 和索引的访问权限;
通过针对 Kibana Spaces 的安全功能,还可允许在 Kibana 中实现多租户。
权限部分分解为3个维度(相对不严谨,Space更偏向于Kibana维度):
1、Space维度、
2、角色维度、
3、用户维度。
比如:开发、测试、运维、产品可以是不同的视角。
角色
:设置Elasticsearch数据的权限并控制对Kibana空间的访问。
用户
:关联对应的角色。1个角色下可以有多个用户,但一个用户唯一对应一个角色。
4.4 其他
不尽兴怎么办? 其他内容待实践后补充完善。
5、小结
-
关于 安全 :之前文章 “你的Elasticsearch在“裸奔”吗?” 有过总结,“裸奔”Elastic集群的风险非常大,我们必须提前加强重视。
-
关于 费用 :中小企业客户基本是没有也不可能付费买商业版的(坊间传闻:x-pack黄金版40000+每年;白金版60000+每年)。基础安全免费给大家带来 非常利好 的消息。
-
关于 选型 :Elastic7.1的基础安全免费,基本解决了中小企业的安全问题,在后续7.X版本的选型中,7.1 较7.0更有鲜明的安全特点,应该优先选择。
参考:
https://www.elastic.co/cn/blog/heya-elastic-stack-and-x-pack
https://www.elastic.co/cn/blog/getting-started-with-elasticsearch-security
推荐阅读:
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Python编程初学者指南
[美]Michael Dawson / 王金兰 / 人民邮电出版社 / 2014-10-1
Python是一种解释型、面向对象、动态数据类型的高级程序设计语言。Python可以用于很多的领域,从科学计算到游戏开发。 《Python编程初学者指南》尝试以轻松有趣的方式来帮助初学者掌握Python语言和编程技能。《Python编程初学者指南》共12章,每一章都会用一个完整的游戏来演示其中的关键知识点,并通过编写好玩的小软件这种方式来学习编程,引发读者的兴趣,降低学习的难度。每章最后都会......一起来看看 《Python编程初学者指南》 这本书的介绍吧!
html转js在线工具
html转js在线工具
RGB CMYK 转换工具
RGB CMYK 互转工具