随笔 | 让您操碎心的ElasticSearch,原来还可以这样加固安全

最新推荐文章于 2024-07-15 18:30:26 发布
最新推荐文章于 2024-07-15 18:30:26 发布
阅读量351 收藏
点赞数
文章标签: 大数据
原文链接:https://my.oschina.net/u/3115904/blog/859045
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

GDI Foundation的安全研究人员Victor Gevers 在2016年12月27日发现,一些不采取任何安全防护措施的MongoDB用户的数据被黑客攻击,数据库内容被加密,受害者必须支付赎金才能找回自己的数据。随后,这一事件不断发酵、扩大,一些骇客又开始将劫持矛头指向ElasticSearch服务器,并要求受害者支付类似的赎金。第一波针对ElasticSearch服务器所有者的攻击发生于1月12日,据追踪本轮ElasticSearch攻击活动的Niall Merrigan最新报告,已有超过800台服务器遭受劫持,安全形势不容乐观。

针对这一情况,Elastic公司给出了六条防护建议。而全世界的ElasticSearch研究爱好者也纷纷亮出自己对ElasticSearch数据安全的建议。这些建议基本反映出了ElasticSearch通行的几种安全防护策略:

第一,通过正规渠道下载 ElasticSearch(首选官方网站),并及时更新升级版本;

第二,修改默认的ElasticSearch集群名称;

第三,不要暴露 ElasticSearch在公网上,绑定公网IP要特别小心;

第四,禁用批量删除索引 ;

第五,安全使用动态脚本,一定要有发现和预警机制;

第六,ElasticSearch 服务器加固,开启防火墙,禁用 root 用户,不用使用弱密码;

第七,正确设置 ElasticSearch的数据目录,避免泄露敏感信息;

第八,定期对 ElasticSearch进行备份;

第九,采取监控和预警措施。

ElasticSearch因为其查询查询快,安装方便,语法类SQL,而与大数据结下情缘。常常在大数据平台中作为存储内核大放异彩,其安全性自不待言。以上安全策略虽然起到了很大的作用,但是它们有一个前提:

ElasticSearch必须经过了授权。

Shield是Elastic公司为ElasticSearch开发的一个安全插件。在安装此插件后,Shield会拦截所有对ElasticSearch的请求,并加上认证与加密,保障ElasticSearch及相关系统的安全性。但是,Shield需要授权收费的。因此,如果您想拥有一套安全且面向互联网的Elasticsearch实例,那么我们强烈建议您立即采取以下措施以保护您的数据:

一、对全部数据备份至安全位置,并考虑使用Curator快照,防止数据被破坏后手足无措;

二、对您的环境进行重新配置,从而将ElasticSearch运行在一套隔离型不可路由网络当中,如果您必须通过互联网访问对应集群,请通过防火墙、VPN、反向代理或者其它技术手段限制来自互联网的集群访问请求,这是最为简单而直接的做法;

三、升级至Elastic Stack的最新版本,如果您运行的是v2.x版本,请检查您的scripting设置,在新的v5.x版本中则请检查Painless脚本设置;

四、利用X-Pack安全工具添加TLS加密、验证、授权以及IP过滤等功能,从而保护您的ElasticSearch实例。

X-Pack虽然能对ElasticSearch进行较强的保护,但目前这部分是需要商业授权的。建议的做法是,采用Sql引擎来访ElasticSearch,通过Sql引擎结合ElasticSearch集群的网络隔离,对存储在ElasticSearch的数据进行安全管理。

用户身份认证

CREATE USER username IDENTIFIED BY 'password';

是不是非常熟悉,继续往下....

权限分配

GRANT ROLES ON TABLES TO NAME@STRING;

grant select on sjrz_qm*.* to test@'10.68.11.%'

grant select on account*.* to sy@'%'

grant select on account*.base to sy@'%'

grant drop on people_trail*.base to username@'%';

X-Pack有的验证、授权以及IP过滤等功能,全都具备。

针对数据运维,还可以加上动态数据脱敏功能,即使运维人员有较高的数据库访问权限,但其能拿的数据仍然是被脱敏处理了的,并不是真实数据。

grant select on people_trail.base(zjhm) to test@'%' with code_masking;

grant select on people_trail.base(xm) to test@'%' with name_masking;

五、采用外部隔离和封装SQL来使用ElasticSearch。

生活中,抱团取暖是应对危机的一种上策,而在IT设备防御中也是一种上策。将各个ES集群节点封装成一个整体,ES客户端通过ESQL工具来现ES集群通信,一方面,通过ESQL的防护实现ES集群的安全隔离。另一方面,ESQL工具可以简化使用,并且实现对资源的细粒度授权管理。

更多信息,可以通过https://github.com/unimassystem了解!

转载于:https://my.oschina.net/u/3115904/blog/859045

weixin_34159110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Elasticsearch安全又双叒叕出问题? 搜索引擎还得看星环科技自主研发的Transwarp Scope
07-28
Elasticsearch安全又双叒叕出问题? 搜索引擎还得看星环科技自主研发的Transwarp Scope
2023年入职/转行网络安全,该如何规划?_网络安全职业规划
Python栈
12-11 1619
前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。
关于elasticsearch安全设置的一个注意点
坐忘峰
03-15 8424
elasticsearch1.4.3以前想版本,除了有MVEL安全漏洞外,还有Groovy的漏洞,具体可以参照:点击打开链接,这里要说的就是其使用的时候要注意的一个重要配置:         作为分布式服务器,一般部署在内网,以服务的形式提供给应用使用。而elasticsearch默认绑定的IP地址是:0.0.0.0,也就是说如果这个机子有几个网卡,则elasticsearch都可以通过这些IP
Elasticsearch (ES) 7.6.2 单节点带安全加固部署文档
assember的博客
01-20 874
Elasticsearch (ES) 7.6.2 单节点带安全加固部署文档 文章目录Elasticsearch (ES) 7.6.2 单节点带安全加固部署文档前言安装 Elasticsearch 7.6.21. 下载并安装Elasticsearch 7.6.22. 生成x-pack 密钥2. 修改配置文件3. 修改系统虚拟内存大小4. 创建esuser用户,启动Elasticsearch5. 设置集群密码安装 Kibana 7.6.21. 下载并安装 Kibana 7.6.22
重要!!Elasticsearch 安全加固指南
铭毅天下Elasticsearch
07-04 2660
1、安全无小事此处省略 1 万字 。。。。。。2、Elasticsearch 安全演进历史6.3 版本之前 X-Pack 需要单独安装。6.3(含)及之后版本 X-Pack 已集成到 Elasticsearch。如果没有第三方加固,1.X——6.8之前版本,Elasticsearch 都属于“裸奔”状态。6.8 版本和 7.1 版本之后,Elasticsearch X-P...
Elasticsearch 如何安全加固
a10703060237的博客
07-06 467
①不对外开放端口、不公网裸奔 操作如下: 默认开启的 9200 端口(ES)、5601 端口(Kibana)、9000 端口(cerebro)、5000 端口(ElasticHQ)等 ELK stack 相关端口不对外公布。 尽量内网环境运行,不公网裸奔。 如果要映射开放端口,要限定好指定 IP 访问,用完后关闭端口映射。 ②升级高版本 Elasticsearch,使用 X-pack 基础安全功能 Elasticsearch 7.1&6.8 版本之后,X-pack 基础安全功能免费。 这意味着:.
ElasticSearch数据备份与恢复
热门推荐
moxiaomomo的专栏
10-31 1万+
ElasticSearch数据备份与恢复最近线上业务ES日志量过于庞大, 达到500亿条(约30TB)记录,需要对旧的索引进行归档处理。用scan和scroll的方式导出备份基本是不可能的了, 本文主要是记录(Ubuntu环境)通过sshfs共享文件系统来进行快照方式备份数据。 假设ES集群有三个节点:192.168.1.10 192.168.1.11 192.168.1.121. 创建共享目录
Elasticsearch中索引和文档的管理
morris
10-24 5299
索引的管理 创建索引 输入: put manage-test 输出: { "acknowledged" : true, "shards_acknowledged" : true, "index" : "manage-test" } { "acknowledged" : true, "shards_acknowledged" : true, "index" : "manage-test" } 查看所有索引 输入: get /_cat/indices?v 输出: health stat
大厂也在用的 6种 数据脱敏方案,严防泄露数据的 “内鬼”
QAQFyl的博客
12-09 513
最近连着几天晚上在家总是接到一些奇奇怪怪的电话,“哥,你是 xxx 吧,我们这里是 xxx 高端男士私人会所...”,握草,我先是一愣,然后狠狠的骂了回去。一脸傲娇的转过头,面带微笑稍显谄媚:老婆你听我说,我真的啥也没干,你要相信我! 啪~ 过后揉揉脸细想想,肯定是哪个不道德的网站,又把我的个人信息给卖了,现在的人上网都处于一个裸奔的状态,个人信息已不再属于个人,时下这种事好像也见怪不怪了,不过,出现这种事大多是有内鬼。 而作为开发者的我们,能做的就是尽量避免经我们手的用户数据泄露,那今天就来
elasticsearch集群安全加密插件之search-guard
11-04
**Elasticsearch 集群安全加密插件 Search Guard** Search Guard是一款强大的安全解决方案,专为Elasticsearch设计,提供全面的数据保护、访问控制和安全监控功能。它可以帮助企业满足合规性要求,确保数据在传输和...
彻底清理:如何安全删除 Elasticsearch 中的索引
07-18
Elasticsearch 是一个基于 Lucene 构建的开源、分布式、RESTful 风格的搜索和分析引擎。它通常用于处理大量数据的搜索、分析和存储任务。以下是 Elasticsearch 的一些关键特点: 1. **分布式**:Elasticsearch 可以...
安全访问:如何在 Elasticsearch 中实现用户认证和授权
最新发布
07-18
Elasticsearch 是一个基于 Lucene 构建的开源、分布式、RESTful 风格的搜索和分析引擎。它通常用于处理大量数据的搜索、分析和存储任务。以下是 Elasticsearch 的一些关键特点: 1. **分布式**:Elasticsearch 可以...
ES查询客户端,elasticsearch可视化工具 elasticsearch查询客户端
06-20
- **Nest**(.NET Elasticsearch Client):是.NET平台上的官方客户端,提供了一种类型安全的方式与Elasticsearch交互。 **2. Elasticsearch可视化工具** 为了便于理解和管理ES中的数据,可视化工具起着至关重要的...
Elasticsearch安全和隐私保护
禅与计算机程序设计艺术
01-28 1041
1.背景介绍 1. 背景介绍 Elasticsearch是一个开源的搜索和分析引擎,它基于Lucene库构建,用于实时搜索和分析大量数据。随着数据的增长,数据安全和隐私保护成为了关键问题。本文将讨论Elasticsearch安全和隐私保护,包括核心概念、算法原理、最佳实践、应用场景和工具推荐。 2. 核心概念与联系 在Elasticsearch中,数据安全和隐私保护主要关注以下几个方面:...
Elasticsearch安全插件和加密通信
互联网知识分享
07-28 452
xpack.security.enabled:启用 X-Pack 插件的安全功能。xpack.security.authc:配置身份验证相关信息。xpack.security.authz.roles:配置角色和权限。xpack.security.audit.enabled:启用审计功能。xpack.security.audit.outputs:配置审计日志的输出方式。xpack.security.transport.ssl.enabled:启用 TLS/SSL 加密通信。
Elasticsearch冷数据是归档到OSS里面吗?
aliyuncloud的博客
07-26 288
首先,冷数据是指不经常被访问的数据,通常存储在较低成本的存储介质上,以节省存储成本。选择适合您业务场景的方案,将冷数据归档到OSS中,既能节省存储成本,又能保证数据的可靠性和安全性。一种常见的做法是使用Elastisearch的插件或者第三方工具,将冷数据从Elasticsearch中导出,并将其存储到OSS中。这样可以实现将不经常被访问的数据从高成本的存储介质迁移至低成本的OSS上,以达到存储成本的节约。通过设置合适的条件和规则,将冷数据的归档过程自动化,并保证数据的完整性和安全性。
elasticsearchES 冷归档数据如何处理
九师兄
06-09 1728
1.概述 使用相对低配的大磁盘机器配置为 ES 的 Warm Nodes,可以通过 index.routing.allocation.require.box_type 来设置索引是冷数据或者热数据。如果索引极少使用,可以 close 索引,然后在需要搜索的时候 open 即可。 ...
敏感词高效检测从浅到深
六道有言的博客
06-30 2596
精选30+云产品,助力企业轻松上云!>>> 目...
Python机器学习、深度学习技术提升气象、海洋、水文领域实践技术
weixin_58566962的博客
07-15 297
Python是功能强大、免费、开源,实现面向对象的编程语言,能够在不同操作系统和平台使用,简洁的语法和解释性语言使其成为理想的脚本语言。除了标准库,还有丰富的第三方库,Python在数据处理、科学计算、数学建模、数据挖掘和数据可视化方面具备优异的性能。上述优势使得Python在气象、海洋、地理、气候、水文和生态等地学领域的科研和工程项目中得到广泛应用。人工智能和大数据技术在许多行业都取得了颠覆式的成果,气象和海洋领域拥有海量的模式和观测数据,是大数据和人工智能应用的天然场景。
ES|QL:Elasticsearch的新管道查询语言
"本次分享主要介绍了Elasticsearch的全新管道查询语言ES|QL,它旨在提供一种统一的查询体验,用于搜索、规则设定和警报等。ES|QL的开发历时约17个月,旨在提高数据调查的效率,简化数据处理,并作为分布式计算和横向...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值