Amazon OpenSearch Service を利用して、検索およびログ分析データを監査および保護する

認証、承認、暗号化、監査、規制遵守に関するセキュリティ要件を満たし、維持します。

大量のデータに基づいて構築された分析ソリューションは、特にセキュリティリスクや違反の影響を受けやすくなっています。 次の機能を備えた堅牢なセキュリティおよびコンプライアンスソリューションが必要です。

  • 機密性の高いワークロードを確実にホストする
  • 機密データへのアクセスを保護および制限する
  • サードパーティーの ID プロバイダーと統合する
  • 保管中および転送中のデータを保護する
  • ユーザーアクティビティと設定の更新を監査する
  • カスタムアプリケーションや他の AWS のサービスへのプログラムによるアクセスを設定する

OpenSearch の主なセキュリティ機能

ネイティブ SAML サポート、AWS Cognito、AWS IAM など、任意の認証および承認方法を使用して、ユーザーに安全なアクセスを提供します。詳細については、「ダッシュボードでの SAML の使用」と「Identity and Access Management」をご覧ください。

ミリタリーグレードの AES-256 AWS Key Management Service (KMS) キーを使用して、ディスク、ログファイル、自動スナップショット上のデータの暗号化を有効にすることで、攻撃者からデータを保護します。TLS 1.2 を使用して、ノード間における転送中のデータを暗号化します。

AWS IAM ポリシーやきめ細かいアクセスコントロールなどの 1 つ以上のアクセスコントロール機能を使用して、ビジネスデータをクエリし、クラスター設定をモニタリングするための制御された予測可能な方法をユーザーに提供します。

AWS ID およびリソースポリシーを使用して ID とリソースを特定の許可/拒否アクションに関連付けることで、ドメインの境界を保護します。Amazon Virtual Private Cloud (VPC) と Amazon VPC セキュリティグループを使用して論理的に分離されたネットワークを作成し、既知のエンティティからのトラフィックのみを許可します。

ドメインに対する設定変更をモニタリングし、ユーザーアクティビティを追跡し、データのリクエストを監査します (詳細な接続属性を含む)。AWS CloudTrail ログ記録と OpenSearch 監査ログを使用して、設定 API の使用とデータへのリクエストをモニタリングします。

セキュリティの脆弱性からデータを保護します。バージョンアップグレードの必要を最小限に抑えるために、OpenSearch Service は、OpenSearch と Elasticsearch のサポートされているすべてのバージョン向けに、下位互換性のあるセキュリティパッチとアップグレードを提供します。

高度なセキュリティコントロールを使用して、機密データや秘密データへのアクセスを保護します。インデックス、ドキュメント、またはフィールドレベルのセキュリティを使用して、特定のインデックス、ドキュメント、またはフィールドへのアクセスを制限します。

AWS SDK または AWS コマンドラインインターフェイス (CLI) を使用して送信された Sigv4 署名付きリクエストを使用して、OpenSearch ドメインと安全に通信します。

組織の厳格なコンプライアンスおよびガバナンスの要件を満たします。Amazon OpenSearch Service は、HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO & CSA STAR、FIPS 140-2 など、いくつかの業界標準コンプライアンスプログラムの一部です。

さまざまなソースからさまざまな形式のログを収集し、セキュリティログデータを正規化して比較します。

セキュリティに関するよくある質問