Amazon OpenSearch Service を利用して、検索およびログ分析データを監査および保護する
認証、承認、暗号化、監査、規制遵守に関するセキュリティ要件を満たし、維持します。
大量のデータに基づいて構築された分析ソリューションは、特にセキュリティリスクや違反の影響を受けやすくなっています。 次の機能を備えた堅牢なセキュリティおよびコンプライアンスソリューションが必要です。
- 機密性の高いワークロードを確実にホストする
- 機密データへのアクセスを保護および制限する
- サードパーティーの ID プロバイダーと統合する
- 保管中および転送中のデータを保護する
- ユーザーアクティビティと設定の更新を監査する
- カスタムアプリケーションや他の AWS のサービスへのプログラムによるアクセスを設定する
OpenSearch の主なセキュリティ機能
認証と承認
ネイティブ SAML サポート、AWS Cognito、AWS IAM など、任意の認証および承認方法を使用して、ユーザーに安全なアクセスを提供します。詳細については、「ダッシュボードでの SAML の使用」と「Identity and Access Management」を参照してください。
暗号化
ミリタリーグレードの AES-256 AWS Key Management Service (KMS) キーを使用して、ディスク、ログファイル、自動スナップショット上のデータの暗号化を有効にすることで、攻撃者からデータを保護します。TLS 1.2 を使用して、ノード間における転送中のデータを暗号化します。
きめ細かいアクセスコントロール
AWS IAM ポリシーやきめ細かいアクセスコントロールなどの 1 つ以上のアクセスコントロール機能を使用して、ビジネスデータをクエリし、クラスター設定をモニタリングするための制御された予測可能な方法をユーザーに提供します。
アクセスポリシーとネットワークの分離
AWS ID およびリソースポリシーを使用して ID とリソースを特定の許可/拒否アクションに関連付けることで、ドメインの境界を保護します。Amazon Virtual Private Cloud (VPC) と Amazon VPC セキュリティグループを使用して論理的に分離されたネットワークを作成し、既知のエンティティからのトラフィックのみを許可します。
監査ログ記録とコンプライアンス
ドメインに対する設定変更をモニタリングし、ユーザーアクティビティを追跡し、データのリクエストを監査します (詳細な接続属性を含む)。AWS CloudTrail ログ記録と OpenSearch 監査ログを使用して、設定 API の使用とデータへのリクエストをモニタリングします。
セキュリティのアップグレードとパッチ
セキュリティの脆弱性からデータを保護します。バージョンアップグレードの必要を最小限に抑えるために、OpenSearch Service は、OpenSearch と Elasticsearch のサポートされているすべてのバージョン向けに、下位互換性のあるセキュリティパッチとアップグレードを提供します。
インデックス、ドキュメント、およびフィールドのセキュリティ
高度なセキュリティコントロールを使用して、機密データや秘密データへのアクセスを保護します。インデックス、ドキュメント、またはフィールドレベルのセキュリティを使用して、特定のインデックス、ドキュメント、またはフィールドへのアクセスを制限します。
プログラムによる安全なアクセス
AWS SDK または AWS コマンドラインインターフェイス (CLI) を使用して送信された Sigv4 署名付きリクエストを使用して、OpenSearch ドメインと安全に通信します。
コンプライアンスとガバナンスを有効にする
組織の厳格なコンプライアンスおよびガバナンスの要件を満たします。Amazon OpenSearch Service は、HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO & CSA STAR、FIPS 140-2 など、いくつかの業界標準コンプライアンスプログラムの一部です。
セキュリティ分析
さまざまなソースからさまざまな形式のログを収集し、セキュリティログデータを正規化して比較します。
リソース
OpenSearch の公開ロードマップ
AWS データラボは、データと分析のモダナイゼーションイニシアティブを加速する具体的な成果物を生み出すために、お客様と AWS の技術リソースとの間で高速な共同エンジニアリングエンゲージメントを提供します。
スキルを構築し、専門知識を検証するための AWS データと分析のトレーニングと認定。
セキュリティ分析とは何ですか?
ブログ
Identify and remediate security threats to your business using security analytics with Amazon OpenSearch Service (Amazon OpenSearch Service のセキュリティ分析を使用して、ビジネスへのセキュリティ脅威を特定し修正)
2023 年 3 月 14 日、Kevin Fallis、Jimish Shah
Field-level security in Amazon OpenSearch Service (Amazon OpenSearch Service のフィールドレベルセキュリティ)
2022 年 11 月 8 日、Satyanarayana Adimula
Analyze Active Directory Event logs using Amazon OpenSearch (Amazon OpenSearch を使用して Active Directory イベント ログを分析)
2022 年 7 月 13 日、Pavankumar Kasani、Ashok Srirama、および Rushikesh Jagtap
Building SAML federation for Amazon OpenSearch Service with Okta (Okta を使用して Amazon OpenSearch Service の SAML フェデレーションを構築)
2022 年 4 月 21 日、Raghavarao Sodabathina、Jana Gnanachandran、および Rudy Collado
How to use AWS Security Hub and Amazon OpenSearch Service for SIEM (AWS Security Hub と Amazon OpenSearch Service for SIEM の使用方法)
2022 年 3 月 21 日、Ely Kahn, Aashmeet Kalra、Grant Joslyn、Akihiro Nakajima、および Anthony Pasquariello
Configure SAML single sign-on for Kibana with AD FS on Amazon Elasticsearch Service (Amazon Elasticsearch Service の AD FS で Kibana の SAML シングルサインオンを設定する)
2021 年 7 月 9 日、Sajeev Attiyil Bhaskaran、Jagadeesh Pusapadi
セキュリティに関するよくある質問
Q: Amazon OpenSearch Service ドメインを保護するにはどうすればよいですか?
Amazon OpenSearch Service は複数のセキュリティ機能を提供し、HIPAA に適合しています。また、PCI DSS、SOC、ISO、および FedRamp 標準に準拠しているため、セキュリティとコンプライアンスのニーズを満たすことができます。ドメインの作成やスケーリングなどの操作のための Amazon OpenSearch Service 管理 API へのアクセスは、AWS Identity and Access Management (IAM) ポリシーで制御されます。
Amazon OpenSearch Service ドメインは、VPC 内のエンドポイントまたはインターネットにアクセス可能なパブリックエンドポイントでアクセスできるように設定できます。VPC エンドポイントのネットワークアクセスはセキュリティグループで制御され、パブリックエンドポイントのアクセスは IP アドレスによって許可または制限できます。
ネットワークベースのアクセスコントロールに加えて、Amazon OpenSearch Service は IAM を介したユーザー認証と、ユーザー名とパスワードを使用した基本認証を提供します。承認は、ドメインレベルで (ドメインアクセスポリシーを介して)、インデックス、ドキュメント、およびフィールドレベルで (OpenSearch が提供するきめ細かいアクセスコントロール機能を介して) 付与できます。さらに、きめ細かいアクセスコントロール機能は、読み取り専用ビューと安全なマルチテナントサポートで OpenSearch ダッシュボードおよび Kibana を拡張します。
Amazon OpenSearch Service は Amazon Cognito との統合もサポートしているため、エンドユーザーは SAML 2.0 や Amazon Cognito ユーザープールなどを使用する Microsoft アクティブディレクトリなどのエンタープライズ ID プロバイダーを介して OpenSearch ダッシュボードおよび Kibana にログインできます。サインインすると、Amazon Cognito は適切な IAM プリンシパルを使用してセッションを確立します。これにより、Amazon OpenSearch Service ドメインへのアクセスが与えられます。これらの IAM プリンシパルは、OpenSearch を使用したきめ細かいアクセスコントロール機能で使用できます。
Q: Amazon OpenSearch Service でのセキュリティ認証と承認はどのように機能しますか?
Amazon OpenSearch Service のセキュリティには、ネットワーク、ドメインアクセスポリシー、きめ細かいアクセスコントロールの 3 つの主要レイヤーがあります。最初のセキュリティレイヤーはネットワークであり、リクエストがドメインに到達するかどうかを決定します。VPC の特定のセキュリティグループに制限されたインターネットまたは VPC アクセスを介したパブリックアクセスをサポートしています。ドメインアクセスポリシーは、2 番目のセキュリティレイヤーです。リクエストがドメインエンドポイントに到達すると、ドメインアクセスポリシーにより、指定された URL へのリクエストアクセスが許可または拒否されます。ドメインアクセスポリシーは、OpenSearch/Elasticsearch に到達する前に、ドメインのエッジでリクエストを許可または拒否します。3 番目の最後のセキュリティレイヤーは、きめ細かいアクセスコントロールです。ドメインアクセスポリシーにより、リクエストがドメインエンドポイントに到達できるようになった後、きめ細かいアクセスコントロールがユーザー認証情報を評価して、ユーザーを認証するか、リクエストを拒否します。きめ細かいアクセスコントロールがユーザーを認証する場合、そのユーザーにマップされているすべてのロールを取得し、権限の完全なセットを使用して、ユーザーがアクセスできるデータを判断します。
Q: Amazon OpenSearch Service は暗号化をサポートしていますか?
はい。Amazon OpenSearch Service は、AWS Key Management Service (KMS) を介した保管時の暗号化、TLS を介したノード間暗号化、およびクライアントに HTTPS の通信をリクエストする機能をサポートしています。保管時の暗号化は、シャード、ログファイル、スワップファイル、および自動化された S3 スナップショットを暗号化します。AWS マネージドキーを使用するか、独自のキーを選択できます。ノード間の暗号化により、ノード間のすべての通信で TLS が有効になります。Amazon OpenSearch Service は、ドメインの存続期間中に証明書を自動的にデプロイおよびローテーションします。クライアントが HTTPS を介して通信する必要がある場合、最小 TLS バージョンを指定することもできます。
Q: Amazon OpenSearch Service ドメインの VPC アクセスを設定した場合、OpenSearch ダッシュボードと Kibana にアクセスするにはどうすればよいですか?
VPC アクセスが有効な場合、Amazon OpenSearch Service のエンドポイントはお客様の VPC 内のみアクセス可能です。お使いのノートパソコンを使用して VPC 外部から OpenSearch ダッシュボードおよび Kibana にアクセスするには、VPN または VPC の Direct Connect を使用して VPC に接続する必要があります。