Audit et sécurisation de vos données analytiques de journaux et de recherche avec Amazon OpenSearch Service
Respectez et maintenez vos exigences de sécurité pour l'authentification, l'autorisation, le chiffrement, l'audit et la conformité aux réglementations.
Les solutions d'analytique reposant sur de grandes quantités de données sont particulièrement exposées aux risques de sécurité et aux violations. Vous avez besoin d'une solution de sécurité et de conformité robuste dotée des fonctionnalités suivantes :
- Hébergement des charges de travail sensibles en toute confiance
- Protection et limitation de l'accès aux données confidentielles
- Intégration aux fournisseurs d'identité tiers
- Protection des données au repos et en transit
- Audit de l'activité des utilisateurs et des mises à jour de la configuration
- Configuration de l'accès par programmation pour vos applications personnalisées et d'autres services AWS
Principales fonctionnalités de sécurité d'OpenSearch
Authentification et autorisation
Assurez un accès sécurisé à vos utilisateurs, en utilisant les méthodes d'authentification et d'autorisation de votre choix, y compris la prise en charge native de SAML, AWS Cognito, AWS IAM, etc. Pour plus d'informations, veuillez consulter les rubriques Utilisation de SAML avec des tableaux de bord et Gestion des identités et des accès.
Chiffrement
Protégez vos données contre les pirates en permettant le chiffrement des données sur disque, des fichiers journaux et des instantanés automatiques à l'aide de clés AES-256 AWS Key Management Service (KMS) de niveau militaire. Cryptez les données en transit entre les nœuds à l'aide de TLS 1.2.
Contrôle détaillé des accès
Utilisez une ou plusieurs fonctionnalités de contrôle d'accès comme les politiques AWS IAM ou le contrôle précis des accès pour fournir aux utilisateurs un moyen contrôlé et prévisible d'interroger les données métier et de surveiller la configuration du cluster.
Stratégies d'accès et isolement du réseau
Sécurisez le périmètre de votre domaine à l'aide de stratégies d'identité et de ressources AWS pour associer les identités et les ressources à des actions spécifiques d'autorisation/de refus. Créez des réseaux logiquement isolés à l'aide d'un Amazon Virtual Private Cloud (Amazon VPC) et des groupes de sécurité Amazon VPC pour n'autoriser le trafic qu'à partir d'entités connues.
Audit de la journalisation et de la conformité
Surveillez les modifications apportées à la configuration de votre domaine, suivez l'activité des utilisateurs et contrôlez les demandes de données, y compris les attributs de connexion détaillés. Utilisez la journalisation AWS CloudTrail et les journaux d'audit OpenSearch pour surveiller l'utilisation des API de configuration et les demandes adressées à vos données.
Mises à niveau et correctifs de sécurité
Protégez vos données contre les failles de sécurité. Pour minimiser le besoin de mises à niveau de versions, OpenSearch Service fournit des correctifs de sécurité et des mises à niveau rétrocompatibles pour toutes les versions prises en charge d'OpenSearch et d'Elasticsearch.
Sécurité au niveau des index, des documents et des champs
Sécurisez l'accès à vos données sensibles ou confidentielles à l'aide de contrôles de sécurité avancés. Utilisez la sécurité au niveau des index, des documents ou des champs pour en limiter l'accès.
Accès par programmation sécurisé
Communiquez en toute sécurité avec votre domaine OpenSearch en utilisant des requêtes signées Sigv4 envoyées à l'aide de kits SDK AWS ou de l'interface de ligne de commande (CLI) AWS.
Favoriser la conformité et la gouvernance
Répondez aux exigences strictes de conformité et de gouvernance de votre organisation. Amazon OpenSearch Service fait partie de plusieurs programmes de conformité aux normes du secteur, notamment HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO & CSA STAR et FIPS 140-2.
Sécurité et analyse
Collectez des journaux provenant de différentes sources avec différents formats, normalisez et comparez les données des journaux de sécurité.
Ressources
Feuille de route publique pour OpenSearch
AWS Data Lab offre des engagements techniques communs et accélérés entre les clients et les ressources techniques AWS pour créer des livrables tangibles qui accélèrent les initiatives de modernisation des données et de l'analytique.
Formation et certification Données et analytique AWS pour renforcer vos compétences et valider votre expertise.
Qu'est-ce que l'analytique de sécurité ?
Construire des opérations de sécurité avec Amazon OpenSearch Service
Démo : Configurer des opérations de sécurité
Sécurisation de vos données analytiques et de journaux avec le webinaire Amazon OpenSearch Service.
Blogs
Identifiez et corrigez les menaces de sécurité qui pèsent sur votre entreprise à l'aide d'analyses de sécurité avec Amazon OpenSearch Service
par Kevin Fallis et Jimish Shah, 14/03/2023
Sécurité au niveau du terrain dans Amazon OpenSearch Service
par Satyanarayana Adimula, le 11/08/2022
Analysez les journaux d'événements Active Directory à l'aide d'Amazon OpenSearch
par Pavankumar Kasani, Ashok Srirama et Rushikesh Jagtap, 13/07/2022
Création d'une fédération SAML pour Amazon OpenSearch Service avec Okta
par Raghavarao Sodabathina, Jana Gnanachandran et Rudy Collado, le 21/04/2022
Comment utiliser AWS Security Hub et Amazon OpenSearch Service pour SIEM
par Ely Kahn, Aashmeet Kalra, Grant Joslyn, Akihiro Nakajima et Anthony Pasquariello, 21/03/2022
Configuration de l'authentification unique SAML pour Kibana avec AD FS sur Amazon Elasticsearch Service
par Sajeev Attiyil Bhaskaran et Jagadeesh Pusapadi, le 07/09/2021
FAQ sur la sécurité
Q : Comment puis-je sécuriser mon domaine Amazon OpenSearch Service ?
Les multiples fonctions de sécurité d'Amazon OpenSearch Service, son éligibilité à HIPAA et sa conformité aux normes PCI DSS, SOC, ISO et FedRamp en font la solution idéale pour atteindre vos objectifs de sécurité et de conformité. Pour des opérations telles que la création et le redimensionnement de domaines, l'accès aux API de gestion d'Amazon OpenSearch Service est contrôlé au moyen des politiques AWS Identity and Access Management (IAM).
Il est possible de configurer les domaines Amazon OpenSearch Service pour qu'ils soient accessibles à partir d'un point de terminaison situé dans votre VPC ou d'un point de terminaison public accessible à Internet. L'accès au réseau pour les points de terminaison d'un VPC est contrôlé par des groupes de sécurité. Quant aux points de terminaison publics, l'accès peut être accordé ou limité par l'adresse IP.
Au-delà du contrôle d'accès via le réseau, Amazon OpenSearch Service fournit une authentification de l'utilisateur via IAM et une authentification de base utilisant un nom d'utilisateur et un mot de passe. L'autorisation peut être accordée au niveau du domaine (via les politiques d'accès au domaine) ainsi qu'au niveau de l'index, du document et du champ (via la fonction de contrôle d'accès précis à technologie OpenSearch). OpenSearch Dashboards et Kibana sont également dotés de cette fonction de contrôle d'accès précis pour des vues en lecture seule et un support mutualisé sécurisé.
Amazon OpenSearch Service prend également en charge une intégration avec Amazon Cognito dont le rôle est de permettre à vos utilisateurs finaux de se connecter à OpenSearch Dashboards et à Kibana par l'intermédiaire de fournisseurs d'identité d'entreprise comme que Microsoft Active Directory en utilisant SAML 2.0, les groupes d'utilisateurs Amazon Cognito, etc. Une fois connecté, Amazon Cognito établit une session à l'aide du mandataire IAM approprié, ce qui permet d'accéder au domaine Amazon OpenSearch Service. Ces mandataires IAM sont ensuite disponibles pour utilisation avec la fonction de contrôle d'accès précis à technologie OpenSearch.
Q : Comment fonctionne l'authentification et l'autorisation de sécurité dans Amazon OpenSearch Service ?
La sécurité d'Amazon OpenSearch Service comporte trois couches principales notamment le réseau, les politiques d'accès au domaine et un contrôle d'accès précis. Le réseau constitue la première couche de sécurité. Il décide si les demandes doivent être acheminées ou non jusqu'à un domaine. Nous prenons en charge l'accès public via Internet ou l'accès VPC limité à des groupes de sécurité spécifiques dans votre VPC. La politique d'accès au domaine est la deuxième couche de sécurité. Lorsqu'une demande atteint le point de terminaison d'un domaine, la politique d'accès au domaine autorise ou refuse l'accès de la demande à une URL donnée. La politique d'accès au domaine accepte ou rejette les demandes à la périphérie du domaine bien avant qu'elles n'atteignent OpenSearch/Elasticsearch lui-même. La troisième et dernière couche de sécurité est un contrôle d'accès précis. Une fois qu'une politique d'accès au domaine permet à une demande d'atteindre le point de terminaison d'un domaine, un contrôle d'accès précis évalue les références de l'utilisateur, puis authentifie ce dernier ou rejette la demande. Si un contrôle d'accès précis authentifie l'utilisateur, il récupère tous les rôles attribués à cet utilisateur et utilise l'ensemble complet des autorisations pour définir les données auxquelles l'utilisateur a accès.
Q : Amazon OpenSearch Service prend-il en charge le chiffrement ?
Oui. Amazon OpenSearch Service prend en charge le chiffrement au repos via AWS Key Management Service (KMS), le chiffrement de nœud à nœud via TLS et la possibilité d'exiger des clients qu'ils communiquent par HTTPS. Le chiffrement au repos permet de chiffrer les partitions, les fichiers journaux, les fichiers d'échange et les instantanés S3 automatisés. Vous pouvez utiliser des clés gérées par AWS ou choisir une de vos propres clés. Le chiffrement nœud à nœud active Transport Layer Security (TLS) pour toutes les communications entre les nœuds. Amazon OpenSearch Service déploie et change automatiquement les certificats pendant toute la durée de vie du domaine. Si vos clients doivent communiquer par HTTPS, vous avez également la possibilité de spécifier la version TLS minimale.
Q : Comment puis-je accéder à OpenSearch Dashboards et à Kibana si je définis un accès VPC pour mon domaine Amazon OpenSearch Service ?
Quand un accès VPC est activé, le point de terminaison pour Amazon OpenSearch Service est uniquement accessible au sein du VPC client. Si vous désirez utiliser votre ordinateur portable pour accéder à OpenSearch Dashboards et à Kibana en dehors de votre VPC, vous devez connecter l'ordinateur portable au VPC via un VPN ou Direct Connect.
En savoir plus sur la tarification Amazon OpenSearch Service.
