使用 Amazon OpenSearch Service 进行审核并保护搜索和日志分析数据
满足并保持身份验证、授权、加密、审计和监管合规等方面要求的您的安全性需求。
基于大量数据的分析解决方案特别容易受到安全风险和漏洞的影响。 您需要具有以下功能的强大安全性和合规性解决方案:
- 安心托管敏感工作负载
- 保护并限制对机密数据的访问
- 与第三方身份提供商集成
- 保护静态和传输中的数据
- 审核用户活动和配置更新
- 为您的自定义应用程序和其他 AWS 服务配置编程访问
OpenSearch 的关键安全功能
身份验证和授权
使用您选择的身份验证和授权方法,包括本地 SAML 支持、AWS Cognoto、AWS IAM 等,为您的用户提供安全访问。有关更多信息,请参阅通过控制面板使用 SAML 和身份和访问管理。
加密
通过使用军用级 AES-256 AWS 密钥管理服务(KMS)密钥对磁盘、日志文件和自动快照上的数据进行加密,保护您的数据免受攻击。使用 TLS 1.2 加密节点之间的传输中数据。
精细访问控制
使用一种或多种访问控制功能(例如 AWS IAM 策略或精细访问控制)为用户提供一种受控且可预测的方式来查询业务数据并监控集群配置。
访问政策和网络隔离
通过使用 AWS 身份和资源策略将身份和资源与特定的允许/拒绝操作相关联,保护您的域的边界。使用 Amazon 虚拟私有云(VPC)和 Amazon VPC 安全组创建逻辑上隔离的网络,以仅允许来自已知实体的流量。
审核日志文件和合规性
监控域的配置更改、跟踪用户活动并审核数据请求,包括详细的连接属性。使用 AWS CloudTrail 日志记录和 OpenSearch 审核日志,以监控配置 API 的使用和对数据的请求。
安全性升级和修补
保护您的数据免受安全漏洞的影响。为了尽可能减少对版本升级的需求,OpenSearch Service 为所有受支持的 OpenSearch 和 Elasticsearch 版本提供向后兼容的安全补丁。
索引、文档和字段的安全性
使用高级安全控制保护对敏感或机密数据的访问。使用索引、文档或字段级别的安全性来限制对特定索引、文档或字段的访问。
保护编程访问的安全
使用通过 AWS SDK 发送的 Sigv4 签名请求或使用 AWS 命令行界面(CLI)与您的 OpenSearch 域进行安全通信。
启用合规性和监管
满足组织的严格合规和监管要求。Amazon OpenSearch Service 是多个行业标准合规性计划的一部分,包括 HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO 和 CSA STAR、FIPS 140-2。
安全分析
从不同来源收集不同格式的日志,标准化和比较安全日志数据。
资源
OpenSearch 公共路线图
AWS Data Lab 在客户和 AWS 技术人员之间建立加速的联合工程协作,旨在创建可加速数据和分析现代化举措的切实可交付成果。
AWS 数据和分析培训及认证可帮助您培养技能并验证您的专业知识。
什么是安全分析?
博客
使用 Amazon OpenSearch Service 的安全分析来识别和修复对您的业务的安全威胁
作者: Kevin Fallis and Jimish Shah,2023 年 3 月 14 日
Amazon OpenSearch Service 中的字段级安全性
作者:Satyanarayana Adimula,2022 年 11 月 8 日
使用 Amazon OpenSearch 分析 Active Directory 事件日志
作者:Pavankumar Kasani、Ashok Srirama 和 Rushikesh Jagtap,2022 年 7 月 13 日
使用 Okta 为 Amazon OpenSearch Service 构建 SAML 联合身份验证
作者:Raghavarao Sodabathina、Jana Gnanachandran 和 Rudy Collado,2022 年 4 月 21 日
如何将 AWS Security Hub 和 Amazon OpenSearch Service 用于 SIEM
作者:Ely Kahn、Aashmeet Kalra、Grant Joslyn、Akihiro Nakajima 和 Anthony Pasquariello,2022 年 3 月 21 日
在 Amazon Elasticsearch Service 上使用 AD FS 为 Kibana 配置 SAML 单点登录
作者:Sajeev Attiyil Bhaskaran 和 Jagadeesh Pusapadi,2021 年 7 月 9 日
安全常见问题
问:如何保护 Amazon OpenSearch Service 域的安全?
Amazon OpenSearch Service 提供多种安全特性,符合 HIPAA 标准及 PCI DSS、SOC, ISO 和 FedRamp 标准,以满足您的安全和合规性要求。Amazon OpenSearch Service 管理 API 的访问,例如创建和扩展域等操作,可通过 AWS Identity and Access Management(IAM)策略进行控制。
Amazon OpenSearch Service 域可以配置为通过 VPC 内的端点或互联网的公有端点进行访问。VPC 端点的网络访问由安全组控制,对于公有端点,可通过 IP 地址对访问进行授权或限制。
除了基于网络的访问控制之外,Amazon OpenSearch Service 还提供通过 IAM 的用户身份验证和使用用户名和密码的基本身份验证。您可以在域级别(通过域访问策略)以及索引、文档和字段级别(通过 OpenSearch 支持的细粒度访问控制特性)进行授权。此外,细粒度访问控制特性还为 OpenSearch Dashboards 和 Kibana 扩展了只读视图和安全的多租户支持。
Amazon OpenSearch Service 还支持与 Amazon Cognito 集成,以便您的最终用户通过使用 SAML 2.0 的 Microsoft Active Directory、Amazon Cognito 用户池等企业身份提供商登录 OpenSearch Dashboards 和 Kibana。登录后,Amazon Cognito 会使用相应的 IAM 主体建立会话,可提供对 Amazon OpenSearch Service 域的访问权限。这些 IAM 主体也可以与 OpenSearch 支持的细粒度访问控制特性结合使用。
问:安全身份验证和授权如何在 Amazon OpenSearch Service 中运作?
Amazon OpenSearch Service 有三个主要安全层:网络、域访问策略和细粒度访问控制。第一个安全层是网络,它决定请求是否会到达域。我们支持通过互联网的公共访问,也支持通过 VPC 中指定安全规则组的 VPC 访问。域访问策略是第二个安全层。当请求到达域端点后,域访问策略允许或拒绝请求访问给定 URL。域访问策略在请求本身到达 OpenSearch/Elasticsearch 前在域边缘接受或拒绝请求。第三个也是最后一个安全层是细粒度访问控制。域访问策略允许请求到达域终端节点后,细粒度访问控制对用户凭证进行评估,并对用户进行身份验证或拒绝请求。如果细粒度访问控制对用户进行了身份验证,它将获取映射到该用户的所有角色,并使用完整的权限集来确定用户可以访问哪些数据。
问:Amazon OpenSearch Service 是否支持加密?
是的,Amazon OpenSearch Service 支持通过 AWS Key Management Service (KMS) 进行静态加密,通过 TLS 进行节点到节点加密,并且要求客户端通过 HTTPS 进行通信。静态加密功能可加密分片、日志文件、交换文件和 S3 中的自动快照。您可以使用 AWS 托管的密钥或选择您自己的密钥。节点到节点支持使用 TLS 加密节点之间的所有通信。Amazon OpenSearch Service 在域的整个生命周期自动部署和轮换证书。如果您要求客户端通过 HTTPS 进行通信,您还可以指定最低 TLS 版本。
问:如果为 Amazon OpenSearch Service 域设置了 VPC 访问,那么我该如何访问 OpenSearch Dashboards 和 Kibana?
启用 VPC 访问后,Amazon OpenSearch Service 的端点仅能在客户 VPC 内进行访问。若要使用笔记本电脑从 VPC 外部访问 OpenSearch Dashboards 和 Kibana,您需要使用 VPN 或 VPC Direct Connect 将笔记本电脑连接至该 VPC。
