使用 Amazon OpenSearch Service 稽核並保障搜尋和日誌分析資料的安全

滿足並維護身分驗證、授權、加密、稽核和法規合規方面的安全性要求。

以大量資料作為建構基礎的分析解決方案特別容易有安全風險和資料外洩之虞。 您需要具備以下功能的健全安全和合規解決方案:

  • 放心地託管敏感的工作負載
  • 保護並限制機密資料的存取權
  • 與第三方身份提供者整合
  • 保護靜態資料和傳輸中的資料
  • 針對使用者活動與組態更新進行稽核
  • 設定自訂應用程式與其他 AWS 服務的程式設計式存取

OpenSearch 的主要安全功能

為使用者提供安全存取權,使用您選擇的身分驗證與授權方式,包括原生 SAML 支援、AWS Cognito、AWS IAM 等。如需詳細資訊,請參閱透過儀表板使用 SAML 以及身分和存取管理

透過啟用磁碟資料、日誌檔和自動產生的截圖的加密功能,使用軍用級的 AES-256 AWS 金鑰管理服務 (KMS) 來保護您的資料,使其不受攻擊者威脅。使用 TLS 1.2 加密在節點之間傳輸中的資料。

使用 AWS IAM 原則等一或多個存取控制功能或精密的存取控制,為使用者提供受控的可預期方式以供其查詢業務資料和監控叢集組態。

利用 AWS 身分和資源原則來保障網域的周邊,在身分和資源與特定的允許/拒絕動作之間建立關聯。使用 Amazon 虛擬私有雲端 (VPC) 以及 Amazon VPC 安全群組建立以邏輯的方式隔離的網路,以僅允許來自已知實體的流量。

監控網域的組態變更、追蹤使用者活動並針對資料 (包括詳細的連線屬性) 請求進行稽核。使用 AWS CloudTrail 日誌記錄和 OpenSearch 稽核日誌來監控組態 API 的使用以及對您資料的請求。

保護您的資料免受安全弱點影響。為了盡量降低版本升級的必要性,OpenSearch Service 為 OpenSearch 和 Elasticsearch 的所有支援版本提供與舊版相容的安全修補程式和升級程式。

使用先進的安全控管機制保障敏感或機密資料的存取安全。使用索引、文件或欄位層級的安全性來限制對特定索引、文件或欄位的存取。

使用透過 AWS SDK 傳送的 Sigv4 簽署請求安全地與 OpenSearch 網域之間進行通訊或使用 AWS Command Line Interface (CLI)。

符合貴組織嚴格的合規與管控要求。Amazon OpenSearch Service 符合多種產業標準合規計畫,包括 HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO & CSA STAR、FIPS 140-2 等。

從不同來源收集不同格式的日誌,標準化和比較安全日誌資料。

安全常見問答集