使用 Amazon OpenSearch Service 稽核並保障搜尋和日誌分析資料的安全
滿足並維護身分驗證、授權、加密、稽核和法規合規方面的安全性要求。
以大量資料作為建構基礎的分析解決方案特別容易有安全風險和資料外洩之虞。 您需要具備以下功能的健全安全和合規解決方案:
- 放心地託管敏感的工作負載
- 保護並限制機密資料的存取權
- 與第三方身份提供者整合
- 保護靜態資料和傳輸中的資料
- 針對使用者活動與組態更新進行稽核
- 設定自訂應用程式與其他 AWS 服務的程式設計式存取
我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。
如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。
必要 Cookie 對於我們所提供的網站和服務而是必要的,而且無法停用。它們的設定通常是對您在網站上的動作的回應,例如,設定您的隱私偏好、登入或填寫表單。
效能 Cookie 提供有關客戶如何瀏覽我們網站的匿名統計資料,以便我們改善網站體驗和效能。獲核准的第三方可代表我們執行分析,但他們無法將資料用於自己的用途。
功能 Cookie 可協助我們提供實用的網站功能、記住您的偏好設定,以及顯示相關內容,獲核准的第三方可能會設定這些 Cookie 以提供特定網站功能。若您不允許這些 Cookie,則部分或全部服務可能無法正常運作。
我們或我們的廣告合作夥伴可以透過網站對廣告 Cookie 進行設定,協助我們提供相關的行銷內容。若您不允許這些 Cookie,您將看到相關程度較低的廣告。
封鎖部分類型的 Cookie 可能會影響您在使用我們的網站時的體驗。您可以隨時在本網站頁尾按一下「Cookie 偏好設定」來變更您的 Cookie 偏好設定。若要進一步了解我們和獲核准的第三方如何在我們的網站上使用 Cookie,請閱讀我們的 AWS Cookie 通知。
我們會在 AWS 網站和其他資產上顯示與您興趣相關的廣告,包括跨情境行為廣告。跨情境行為廣告使用來自一個網站或應用程式的資料,在不同公司的網站或應用程式上向您投放廣告。
若要不允許 AWS 根據 Cookie 或類似技術進行跨情境行為廣告,請在下方選取「不允許」並「儲存隱私權選擇」,或造訪已啟用法律認可拒絕訊號的 AWS 網站,例如全域隱私權控制。如果您刪除 Cookie 或從其他瀏覽器或裝置造訪本網站,您需要重新選擇。如需關於 Cookie 及其使用方式的詳細資訊,請參閱 AWS Cookie 聲明。
若要不允許所有其他 AWS 跨情境行為廣告,請透過電子郵件填寫此表單。
如需有關 AWS 如何處理您的資訊的詳細資訊,請閱讀 AWS 隱私權聲明。
我們目前只會儲存基本 Cookie,因為我們無法儲存您的 Cookie 偏好設定。
如果您想要變更 Cookie 偏好設定,請稍後使用 AWS 主控台頁尾中的連結重試,如果問題仍存在,請聯絡支援部門。
滿足並維護身分驗證、授權、加密、稽核和法規合規方面的安全性要求。
以大量資料作為建構基礎的分析解決方案特別容易有安全風險和資料外洩之虞。 您需要具備以下功能的健全安全和合規解決方案:
為使用者提供安全存取權,使用您選擇的身分驗證與授權方式,包括原生 SAML 支援、AWS Cognito、AWS IAM 等。如需詳細資訊,請參閱透過儀表板使用 SAML 以及身分和存取管理。
透過啟用磁碟資料、日誌檔和自動產生的截圖的加密功能,使用軍用級的 AES-256 AWS 金鑰管理服務 (KMS) 來保護您的資料,使其不受攻擊者威脅。使用 TLS 1.2 加密在節點之間傳輸中的資料。
使用 AWS IAM 原則等一或多個存取控制功能或精密的存取控制,為使用者提供受控的可預期方式以供其查詢業務資料和監控叢集組態。
利用 AWS 身分和資源原則來保障網域的周邊,在身分和資源與特定的允許/拒絕動作之間建立關聯。使用 Amazon 虛擬私有雲端 (VPC) 以及 Amazon VPC 安全群組建立以邏輯的方式隔離的網路,以僅允許來自已知實體的流量。
監控網域的組態變更、追蹤使用者活動並針對資料 (包括詳細的連線屬性) 請求進行稽核。使用 AWS CloudTrail 日誌記錄和 OpenSearch 稽核日誌來監控組態 API 的使用以及對您資料的請求。
保護您的資料免受安全弱點影響。為了盡量降低版本升級的必要性,OpenSearch Service 為 OpenSearch 和 Elasticsearch 的所有支援版本提供與舊版相容的安全修補程式和升級程式。
使用先進的安全控管機制保障敏感或機密資料的存取安全。使用索引、文件或欄位層級的安全性來限制對特定索引、文件或欄位的存取。
使用透過 AWS SDK 傳送的 Sigv4 簽署請求安全地與 OpenSearch 網域之間進行通訊或使用 AWS Command Line Interface (CLI)。
符合貴組織嚴格的合規與管控要求。Amazon OpenSearch Service 符合多種產業標準合規計畫,包括 HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO & CSA STAR、FIPS 140-2 等。
從不同來源收集不同格式的日誌,標準化和比較安全日誌資料。
Amazon OpenSearch Service 提供多種安全功能,並且符合 HIPAA 要求以及 PCI DSS、SOC、ISO 和 FedRamp 標準,因此您可以滿足各種安全性和合規性需求。使用 AWS Identity and Access Management (IAM) 政策控制對 Amazon OpenSearch Service 管理 API 的存取,以執行建立和擴展網域等操作。
Amazon OpenSearch Service 網域可設定為透過您的 VPC 內的端點,或者可透過網際網路存取的公共端點進行存取。VPC 端點的網路存取由安全群組控制,而公共端點的存取則可透過 IP 地址授予或限制。
除了網路存取控制之外,Amazon OpenSearch Service 還提供透過 IAM 進行使用者身分驗證,以及透過使用者名稱和密碼進行基本身分驗證。可以在網域級 (透過網域存取政策) 以及索引、文件和欄位級 (透過由 OpenSearch 提供的細緻存取控制功能) 授予授權。此外,細緻存取控制功能透過唯讀檢視和安全的多租用戶支援來擴展 OpenSearch 儀表板和 Kibana。
Amazon OpenSearch Service 還支援與 Amazon Cognito 進行整合,讓您的最終使用者能夠透過企業身分提供程式 (例如,使用 SAML 2.0 的 Microsoft Active Directory、Amazon Cognito 使用者集區等) 登入 OpenSearch 儀表板和 Kibana。登入後,Amazon Cognito 可使用適當的 IAM 主體建立工作階段,這可提供對 Amazon OpenSearch Service 網域的存取。然後可以將這些 IAM 主體與 OpenSearch 支援的細緻存取控制功能結合使用。
Amazon OpenSearch Service 安全性具有三個主要層級:網路、網域存取政策和細緻存取控制。第一安全層是網路,它確定請求是否到達網域。我們支援透過網際網路的公共存取,或僅限 VPC 中特定安全群組的 VPC 存取。網域存取政策是第二安全層。請求到達網域端點後,網域存取政策允許或拒絕請求對給定 URL 的存取。網域存取政策在到達 OpenSearch/Elasticsearch 本身之前,在網域邊緣接受或拒絕請求。第三層也是最後一層安全層是細緻存取控制。網域存取政策允許請求到達網域端點後,細緻存取控制將評估使用者登入資料,並驗證使用者身分或拒絕請求。若細緻存取控制對使用者進行身分驗證,它將獲取映射至該使用者的所有角色,並使用完整的許可集來確定使用者有權存取的資料。
是的,Amazon OpenSearch Service 支援透過 AWS Key Management Service (KMS) 進行靜態加密,透過 TLS 進行節點至節點加密,並且能夠要求用戶端進行 HTTPS 通訊。靜態加密對分區、日誌檔案、交換檔案和自動 S3 快照進行加密。您可以使用 AWS 管理的金鑰,也可以選擇自己的其中一個金鑰。節點至節點加密針對節點之間的所有通訊啟用 TLS。Amazon OpenSearch Service 在網域的整個生命週期內自動部署和輪換憑證。若需要用戶端透過 HTTPS 進行通訊,則還可指定最低 TLS 版本。
啟用 VPC 存取之後,只能在客戶 VPC 內存取 Amazon OpenSearch Service 的端點。若要使用筆記型電腦從 VPC 外存取 OpenSearch 儀表板和 Kibana,需要使用 VPN 或 VPC Direct Connect 將筆記型電腦連接到 VPC。