Controlla e proteggi l'analisi dei dati di registro e di ricerca con il servizio OpenSearch di Amazon
Soddisfa e mantieni i requisiti di sicurezza per l'autenticazione, l'autorizzazione, la crittografia, la verifica e la conformità normativa.
Le soluzioni di analisi create su una grande quantità di dati sono suscettibili in modo particolare ai rischi e alle violazioni relativi alla sicurezza. È necessaria una soluzione di sicurezza e conformità solida con le seguenti funzionalità:
- Carichi di lavoro con hosting sicuro
- Accesso protetto e limitato ai dati riservati
- Integrazione con provider di identità di terze parti
- Protezione dei dati archiviati e in transito
- Controllo delle attività degli utenti e degli aggiornamenti delle configurazioni
- Configurazione dell'accesso programmatico per le applicazioni personalizzate e altri servizi AWS
Funzionalità chiave per la sicurezza di OpenSearch
Autenticazione e autorizzazione
Offri un accesso sicuro agli utenti utilizzando metodi di autenticazione e autorizzazione di tua scelta, tra cui il supporto SAML nativo, AWS Cognito, AWS IAM e tanti altri. Per ulteriori informazioni, consulta Utilizzo di SAML con Dashboards e Identity and Access Management.
Crittografia
Proteggi i dati dagli attacchi abilitando la crittografia dei dati su disco, dei file di registro e degli snapshot automatici utilizzando chiavi AWS Key Management Service (KMS) di grado militare AES-256. Crittografa i dati in transito tra i nodi utilizzando TLS 1.2.
Controllo granulare degli accessi
Utilizza una o più funzionalità di controllo degli accessi, ad esempio le policy di AWS IAM o il controllo granulare degli accessi, per fornire agli utenti un modo controllato e prevedibile per eseguire le query sui dati aziendali e monitorare la configurazione dei cluster.
Policy di accesso e isolamento della rete
Proteggi il perimetro del dominio utilizzando l'identità AWS e le policy sulle risorse per associare identità e risorse alle azioni specifiche che consentono o negano gli accessi. Crea reti logicamente isolate utilizzando un cloud privato virtuale (VPC) di Amazon e gruppi di sicurezza Amazon VPC per consentire il traffico solo da entità note.
Controlla registrazione e conformità
Monitora le modifiche della configurazione al dominio, tieni traccia delle attività dell'utente e controlla le richieste dei dati, compresi gli attributi dettagliati delle connessioni. Utilizza i log di AWS CloudTrail e quelli di audit di OpenSearch per monitorare l'utilizzo delle API di configurazione e le richieste dei dati.
Aggiornamenti e patch sulla sicurezza
Proteggi i dati dalle vulnerabilità relative alla sicurezza. Per minimizzare la necessità di aggiornamenti di versione, il servizio OpenSearch offre patch e aggiornamenti di sicurezza compatibili con le versioni precedenti per tutte le versioni supportate di OpenSearch ed Elasticsearch.
Sicurezza di indici, documenti e campi
Proteggi l'accesso ai dati sensibili e confidenziali utilizzando i controlli di sicurezza avanzati. Utilizza la sicurezza a livello di indice, documento e campo per limitare l'accesso a specifici indici, documenti e campi.
Proteggi l'accesso programmatico
Comunica in modo sicuro con il dominio OpenSearch utilizzando le richieste firmate con Sigv4 con i kit SDK AWS o l'interfaccia della linea di comando AWS (CLI).
Abilita conformità e governance
Rispetta i severi requisiti di conformità e governance della tua organizzazione. Il servizio OpenSearch di Amazon partecipa a diversi programmi di conformità standard di settore, tra cui HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO & CSA STAR, FIPS 140-2.
Analisi della sicurezza
Raccogli log da fonti diverse con formati diversi, normalizza e confronta i dati dei log di sicurezza.
Risorse
Roadmap pubblica per OpenSearch
AWS Data Lab offre l'impegno congiunto e accelerato tra clienti e risorse tecniche AWS, consentendo di generare risultati tangibili che accelerano le iniziative di modernizzazione di dati e analisi.
AWS Data & Analytics Training and Certification per creare abilità e convalidare le competenze.
Cos'è l'analisi della sicurezza?
Sviluppare operazioni di sicurezza con il servizio OpenSearch di Amazon
Demo: impostazione delle operazioni di sicurezza
Proteggere i dati di registro e di analisi con il webinar sul servizio OpenSearch di Amazon.
Blog
Identifica e correggi le minacce alla sicurezza della tua azienda utilizzando l'analisi di sicurezza con il servizio OpenSearch di Amazon
di Kevin Fallis e Jimish Shah, 14/03/2023
La sicurezza a livello di campo nel servizio OpenSearch di Amazon
di Satyanarayana Adimula, 08/11/2022
Analizza i log degli eventi di Active Directory utilizzando il servizio OpenSearch di Amazon
di Pavankumar Kasani, Ashok Srirama e Rushikesh Jagtap, 13/07/2022
Creazione della federazione SAML per il servizio OpenSearch di Amazon con Okta
di Raghavarao Sodabathina, Jana Gnanachandran e Rudy Collado, il 21/04/2022
Come utilizzare la Centrale di sicurezza AWS e il servizio OpenSearch di Amazon per il blog SIEM
di Ely Kahn, Aashmeet Kalra, Grant Joslyn, Akihiro Nakajima e Anthony Pasquariello, 21/03/2022
Configura il single sign-on SAML per Kibana con AD FS su Amazon Elasticsearch Service
di Sajeev Attiyil Bhaskaran e Jagadeesh Pusapadi, 09/07/2021
Domande frequenti sulla sicurezza
D: Come posso proteggere il mio dominio del servizio OpenSearch di Amazon?
Il servizio OpenSearch di Amazon presenta molteplici caratteristiche di sicurezza, è idoneo alla normativa HIPAA e conforme agli standard PCI DSS, SOC, ISO e FedRamp, mettendoti in grado di soddisfare le tue esigenze di sicurezza e conformità. L'accesso alle API di gestione del servizio OpenSearch di Amazon per operazioni quali la creazione e il dimensionamento di domini è controllabile con le policy AWS Identity and Access Management (IAM).
I domini del servizio OpenSearch di Amazon possono essere configurati in modo da essere accessibili con un endpoint nel tuo VPC o con uno pubblico accessibile da Internet. L'accesso alla rete per gli endpoint VPC è controllato con gruppi di sicurezza e per gli endpoint pubblici l'accesso può essere concesso o limitato dall'indirizzo IP.
Oltre al controllo dell'accesso basato su rete, il servizio OpenSearch di Amazon offre la funzione di autenticazione degli utenti tramite IAM e di autenticazione base utilizzando nome utente e password. L'autorizzazione può essere concessa a livello di dominio (tramite le policy di accesso al dominio) nonché a livello di indice, documento e campo (tramite la caratteristica di controllo dell'accesso a grana fine fornita da OpenSearch). Inoltre, la caratteristica di controllo degli accessi a grana fine estende i pannelli di Controllo OpenSearch e Kibana con visualizzazioni di sola lettura e supporto multi-tenant sicuro.
Il servizio OpenSearch di Amazon supporta anche un'integrazione con Amazon Cognito, per permettere agli utenti finali di accedere ai pannelli di controllo OpenSearch e Kibana tramite provider di identità aziendali come Microsoft Active Directory utilizzando SAML 2.0, bacino di utenti Amazon Cognito e altro ancora. Una volta effettuato l'accesso, Amazon Cognito stabilisce una sessione utilizzando l’entità IAM appropriata, che fornisce l'accesso al dominio del servizio OpenSearch di Amazon. Questi principali IAM sono quindi disponibili per essere utilizzati con la caratteristica di controllo degli accessi granulare fornita da OpenSearch.
D: Come vengono eseguite l'autenticazione e l'autorizzazione di sicurezza nel servizio OpenSearch di Amazon?
In Amazon OpenSearch Service la sicurezza si articola in tre livelli: rete, policy di accesso ai domini e controllo granulare dell'accesso. Il primo livello di sicurezza è la rete, che determina se le richieste raggiungono un dominio. Supportiamo l'accesso pubblico attraverso Internet o l'accesso VPC limitato a specifici gruppi di sicurezza nel tuo VPC. Il secondo livello di sicurezza è la policy di accesso ai domini. Dopo che una richiesta raggiunge un endpoint di un dominio, la policy di accesso ai domini accetta o rifiuta la richiesta di accesso a un dato URL. La policy di accesso ai domini accetta o rifiuta le richieste ai margini del dominio, prima che raggiungano OpenSearch/Elasticsearch stesso. Il terzo e finale livello di sicurezza è il controllo granulare dell'accesso. Dopo che una policy di accesso ai domini permette a una richiesta di raggiungere un endpoint del dominio, la funzione di controllo granulare dell'accesso valuta le credenziali dell'utente e lo autentica o rifiuta la richiesta. Se l'utente viene autenticato, la funzione di controllo granulare dell'accesso recupera tutti i ruoli mappati su quell'utente e utilizza il set completo di autorizzazioni per determinare a quali dati l'utente ha accesso.
D: Il servizio OpenSearch di Amazon supporta la crittografia?
Sì, il servizio OpenSearch di Amazon supporta la crittografia per i dati inattivi tramite AWS Key Management Service (KMS), la crittografia da nodo a nodo tramite TLS e la capacità di richiedere ai clienti di comunicare tramite HTTPS. La funzione di crittografia per i dati inattivi crittografa shard, file di log, file di swap e snapshot S3 automatici. Puoi usare chiavi gestite da AWS o sceglierne una delle tue. La crittografia da nodo a nodo abilita TLS per tutte le comunicazioni tra nodi. Amazon OpenSearch Service implementa e ruota automaticamente certificati durante la vita del dominio. Se richiedi ai clienti di comunicare tramite HTTPS, puoi anche specificare la versione TLS minima.
D: Se configuro l'accesso VPC per il mio dominio Amazon OpenSearch Service, come posso accedere a Pannelli di Controllo OpenSearch e Kibana?
Quando l'accesso VPC è abilitato, l'endpoint per Amazon OpenSearch Service è accessibile solo all'interno del VPC del cliente. Per utilizzare il tuo computer portatile per accedere ai pannelli di controllo OpenSearch e Kibana dall'esterno del VPC, è necessario connettere il computer portatile al VPC utilizzando VPN o VPC Direct Connect.
Ulteriori informazioni sui prezzi del servizio OpenSearch di Amazon.
Ottieni l'accesso immediato al piano gratuito di AWS.
