GalsSoftware 9 июн 2020 в 07:03

Elastic под замком: включаем опции безопасности кластера Elasticsearch для доступа изнутри и снаружи

7 мин

28K

Блог компании Gals SoftwareIT-инфраструктура*NoSQL*Big Data*Софт

+10

Комментарии 9

chamav 9 июн 2020 в 11:27

В open distro от Amazon все есть из коробки и бесплатно.

askerov_o 9 июн 2020 в 11:43

В Open Distro есть многое, по количеству бесплатных плюшек он и правда крут. Но тот же готовый SIEM со встроенными правилами обнаружения в бесплатной версии Elastic тоже его огромный плюс. Когда начинаешь исходить из задач, чаша весов может качнуться как в одну так и в другую сторону.

SlavikF 10 июн 2020 в 02:49

Так и в бесплатном Elastic это же всё есть бесплатно и из коробки.
Вот только лицензия не такая открытая, как у open distro от Amazon.

А по возможностям Elastic намного круче open distro от Amazon.

lasc 10 июн 2020 в 03:40

В Elastic без оплаты безопасность без прицепки к ldap или чему то еще. А у OD есть, но нету других вещей например APM

iRandom 9 июн 2020 в 21:38

Спасибо, очень во время статья, как раз всю неделю этим и занимаюсь

Столкнулся с другим затруднением, не могу найти четкую документацию на создание роли для агентов битсов, чтобы права были только на запись в свои индексы детально с шифрацией пароля в конфиг файле

SlavikF 10 июн 2020 в 02:51

У Elastic на блоге сегодня вышла статья про создание ролей для битсов (на английском):

www.elastic.co/blog/ingesting-metrics-securely-elastic-stack-role-based-access-control-rbac

Не уверен про «с шифрацией пароля в конфиг файле»

И ещё одна их статья по теме:
www.elastic.co/blog/elastic-siem-for-small-business-and-home-2-securing-cluster-access

iRandom 10 июн 2020 в 07:40

Спасибо! Это то что нужно, забавно что такая статья вышла так день в день :)

Шифрация тоже нашлась в этой же статье, «Setting up a keystore»в целом достаточно удобно

hssergey 10 июн 2020 в 08:20

Если нужно просто ограничить доступ к elasticsearch извне (но дать его, например, определенным другим серверам), то можно настроить, чтобы elasticsearch слушала порт на 127.0.0.1, а перед ней поставить nginx, на котором уже подключить белый список IP, настроить HTTPS и так далее…

ky0 10 июн 2020 в 22:40

Начиная с Gold можно подключать внешние системы аутентификации — LDAP, PKI, Active Directory и системы Single sign-on.

Справедливости ради — с помощью oauth2-proxy, например, можно и на Basic засковородить OpenID, например, через Гугл.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий