ইলাস্টিক স্ট্যাক হল SIEM সিস্টেমের বাজারে একটি সুপরিচিত টুল (আসলে, শুধুমাত্র তাদের নয়)। এটি সংবেদনশীল এবং খুব সংবেদনশীল নয় উভয়ই বিভিন্ন আকারের ডেটা সংগ্রহ করতে পারে। ইলাস্টিক স্ট্যাক উপাদানগুলির অ্যাক্সেস সুরক্ষিত না থাকলে এটি সম্পূর্ণরূপে সঠিক নয়। ডিফল্টরূপে, সমস্ত ইলাস্টিক আউট-অফ-দ্য-বক্স উপাদান (Elasticsearch, Logstash, Kibana, এবং Beats সংগ্রাহক) ওপেন প্রোটোকলগুলিতে চলে। এবং কিবানায় নিজেই, প্রমাণীকরণ নিষ্ক্রিয়। এই সমস্ত মিথস্ক্রিয়া সুরক্ষিত করা যেতে পারে এবং এই নিবন্ধে আমরা আপনাকে বলব কিভাবে এটি করতে হবে। সুবিধার জন্য, আমরা আখ্যানটিকে 3টি শব্দার্থিক ব্লকে ভাগ করেছি:

• ভূমিকা-ভিত্তিক ডেটা অ্যাক্সেস মডেল
• একটি ইলাস্টিক সার্চ ক্লাস্টারের মধ্যে ডেটা নিরাপত্তা
• একটি ইলাস্টিক সার্চ ক্লাস্টারের বাইরে ডেটা সুরক্ষিত করা

কাটা অধীনে বিস্তারিত.

ভূমিকা-ভিত্তিক ডেটা অ্যাক্সেস মডেল

আপনি যদি ইলাস্টিকসার্চ ইন্সটল করেন এবং কোনোভাবেই টিউন না করেন, তাহলে সকল সূচীতে অ্যাক্সেস সবার জন্য উন্মুক্ত থাকবে। ভাল, বা যারা কার্ল ব্যবহার করতে পারেন। এটি এড়াতে, ইলাস্টিকসার্চের একটি রোল মডেল রয়েছে যা একটি বেসিক সাবস্ক্রিপশন (যা বিনামূল্যে) থেকে শুরু করে উপলব্ধ। পরিকল্পিতভাবে এটি এরকম কিছু দেখায়:

ছবিতে কি আছে

• ব্যবহারকারীরা সবাই যারা তাদের শংসাপত্র ব্যবহার করে লগ ইন করতে পারে।
• একটি ভূমিকা হল অধিকারের একটি সেট।
• অধিকার হল একগুচ্ছ সুযোগ সুবিধা।
• বিশেষাধিকার হল লেখা, পড়া, মুছে ফেলা ইত্যাদির অনুমতি। (বিশেষাধিকারের সম্পূর্ণ তালিকা)
• সংস্থানগুলি হল সূচী, নথি, ক্ষেত্র, ব্যবহারকারী এবং অন্যান্য স্টোরেজ সত্তা (কিছু সংস্থানের রোল মডেল শুধুমাত্র অর্থপ্রদানের সদস্যতার সাথে উপলব্ধ)।

ডিফল্টরূপে Elasticsearch আছে বক্স ব্যবহারকারীরা, যা তারা সংযুক্ত করা হয় বক্স ভূমিকা. একবার আপনি নিরাপত্তা সেটিংস সক্ষম করলে, আপনি অবিলম্বে সেগুলি ব্যবহার করা শুরু করতে পারেন৷

ইলাস্টিক সার্চ সেটিংসে নিরাপত্তা সক্ষম করতে, আপনাকে এটি কনফিগারেশন ফাইলে যুক্ত করতে হবে (ডিফল্টরূপে এটি elasticsearch/config/elasticsearch.yml) নতুন লাইন:

xpack.security.enabled: true

কনফিগারেশন ফাইল পরিবর্তন করার পরে, পরিবর্তনগুলি কার্যকর হওয়ার জন্য ইলাস্টিকসার্চ চালু বা পুনরায় চালু করুন। পরবর্তী ধাপ হল বক্স ব্যবহারকারীদের পাসওয়ার্ড বরাদ্দ করা। আসুন নীচের কমান্ডটি ব্যবহার করে ইন্টারেক্টিভভাবে এটি করি:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

চেক করুন:

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

আপনি নিজেকে পিঠে চাপ দিতে পারেন - ইলাস্টিকসার্চ পাশের সেটিংস সম্পূর্ণ হয়েছে। এখন কিবানা কনফিগার করার সময়। আপনি যদি এটি এখন চালান, ত্রুটিগুলি প্রদর্শিত হবে, তাই একটি কী স্টোর তৈরি করা গুরুত্বপূর্ণ। এটি দুটি কমান্ডে করা হয় (ব্যবহারকারী কিবানা এবং ইলাস্টিকসার্চে পাসওয়ার্ড তৈরির ধাপে প্রবেশ করা পাসওয়ার্ডটি):

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

সবকিছু ঠিক থাকলে, কিবানা একটি লগইন এবং পাসওয়ার্ড চাওয়া শুরু করবে। মৌলিক সাবস্ক্রিপশন অভ্যন্তরীণ ব্যবহারকারীদের উপর ভিত্তি করে একটি রোল মডেল অন্তর্ভুক্ত করে। গোল্ড দিয়ে শুরু করে, আপনি বাহ্যিক প্রমাণীকরণ সিস্টেম - LDAP, PKI, সক্রিয় ডিরেক্টরি এবং একক সাইন-অন সিস্টেমগুলিকে সংযুক্ত করতে পারেন৷

ইলাস্টিকসার্চের ভিতরে থাকা বস্তুগুলিতে অ্যাক্সেসের অধিকারও সীমিত হতে পারে। যাইহোক, নথি বা ক্ষেত্রের জন্য একই কাজ করতে, আপনার একটি অর্থপ্রদানের সাবস্ক্রিপশনের প্রয়োজন হবে (এই বিলাসিতা প্লাটিনাম স্তরের সাথে শুরু হয়)। এই সেটিংস কিবানা ইন্টারফেসে বা এর মাধ্যমে উপলব্ধ নিরাপত্তা API. আপনি ইতিমধ্যে পরিচিত ডেভ টুলস মেনু চেক করতে পারেন:

ভূমিকা তৈরি করা

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

একজন ব্যবহারকারী তৈরি করা হচ্ছে

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "pushkin@lyceum.edu",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

একটি ইলাস্টিক সার্চ ক্লাস্টারের মধ্যে ডেটা নিরাপত্তা

যখন ইলাস্টিকসার্চ একটি ক্লাস্টারে চলে (যা সাধারণ), ক্লাস্টারের মধ্যে নিরাপত্তা সেটিংস গুরুত্বপূর্ণ হয়ে ওঠে। নোডের মধ্যে নিরাপদ যোগাযোগের জন্য, ইলাস্টিকসার্চ TLS প্রোটোকল ব্যবহার করে। তাদের মধ্যে সুরক্ষিত মিথস্ক্রিয়া সেট আপ করতে, আপনার একটি শংসাপত্র প্রয়োজন৷ আমরা PEM ফর্ম্যাটে একটি শংসাপত্র এবং ব্যক্তিগত কী তৈরি করি:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

উপরের কমান্ডটি কার্যকর করার পরে, ডিরেক্টরিতে /../elasticsearch সংরক্ষণাগার প্রদর্শিত হবে elastic-stack-ca.zip. এটির ভিতরে আপনি একটি শংসাপত্র এবং এক্সটেনশন সহ একটি ব্যক্তিগত কী পাবেন সিআরটি и চাবি যথাক্রমে এগুলিকে একটি ভাগ করা সম্পদে রাখার পরামর্শ দেওয়া হয়, যা ক্লাস্টারের সমস্ত নোড থেকে অ্যাক্সেসযোগ্য হওয়া উচিত।

প্রতিটি নোডের এখন নিজস্ব শংসাপত্র এবং ব্যক্তিগত কীগুলির প্রয়োজন শেয়ার করা ডিরেক্টরির উপর ভিত্তি করে। কমান্ডটি কার্যকর করার সময়, আপনাকে একটি পাসওয়ার্ড সেট করতে বলা হবে। ইন্টারেক্টিং নোডগুলির সম্পূর্ণ যাচাইকরণের জন্য আপনি অতিরিক্ত বিকল্প -ip এবং -dns যোগ করতে পারেন।

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

কমান্ড কার্যকর করার ফলস্বরূপ, আমরা PKCS#12 ফরম্যাটে একটি শংসাপত্র এবং একটি ব্যক্তিগত কী পাব, একটি পাসওয়ার্ড দ্বারা সুরক্ষিত। যা অবশিষ্ট থাকে তা হল জেনারেট করা ফাইলটি সরানো p12 কনফিগারেশন ডিরেক্টরিতে:

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

বিন্যাসে শংসাপত্রে একটি পাসওয়ার্ড যোগ করুন p12 প্রতিটি নোডে কীস্টোর এবং ট্রাস্টস্টোরে:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

আগেই জানা ছিল elasticsearch.yml যা অবশিষ্ট থাকে তা হল শংসাপত্র ডেটা সহ লাইন যোগ করা:

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

আমরা সমস্ত ইলাস্টিকসার্চ নোড চালু করি এবং কার্যকর করি কার্ল. সবকিছু সঠিকভাবে সম্পন্ন হলে, বেশ কয়েকটি নোড সহ একটি প্রতিক্রিয়া ফিরে আসবে:

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

আরেকটি নিরাপত্তা বিকল্প আছে - আইপি ঠিকানা ফিল্টারিং (গোল্ড লেভেল থেকে সাবস্ক্রিপশনে উপলব্ধ)। আপনাকে IP ঠিকানাগুলির সাদা তালিকা তৈরি করতে দেয় যেখান থেকে আপনি নোডগুলি অ্যাক্সেস করতে পারবেন।

একটি ইলাস্টিক সার্চ ক্লাস্টারের বাইরে ডেটা সুরক্ষিত করা

ক্লাস্টারের বাইরের অর্থ হল বাহ্যিক সরঞ্জামগুলিকে সংযুক্ত করা: কিবানা, লগস্ট্যাশ, বিটস বা অন্যান্য বহিরাগত ক্লায়েন্ট।

https এর জন্য সমর্থন কনফিগার করতে (http এর পরিবর্তে), elasticsearch.yml এ নতুন লাইন যোগ করুন:

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

কারণ শংসাপত্রটি পাসওয়ার্ড সুরক্ষিত, প্রতিটি নোডে কীস্টোর এবং ট্রাস্টস্টোরে এটি যুক্ত করুন:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

কীগুলি যোগ করার পরে, ইলাস্টিকসার্চ নোডগুলি https এর মাধ্যমে সংযোগ করার জন্য প্রস্তুত। এখন সেগুলো চালু করা যাবে।

পরবর্তী ধাপ হল কিবানাকে সংযোগ করার জন্য একটি কী তৈরি করা এবং এটি কনফিগারেশনে যোগ করা। ইতিমধ্যেই শেয়ার্ড ডিরেক্টরিতে থাকা শংসাপত্রের উপর ভিত্তি করে, আমরা PEM ফর্ম্যাটে একটি শংসাপত্র তৈরি করব (PKCS#12 Kibana, Logstash এবং Beats এখনও সমর্থন করে না):

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

কিবানা কনফিগারেশনের সাথে ফোল্ডারে তৈরি করা কীগুলি আনপ্যাক করা বাকি রয়েছে:

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

কীগুলি সেখানে আছে, তাই যা বাকি থাকে তা হল কিবানা কনফিগারেশন পরিবর্তন করা যাতে এটি সেগুলি ব্যবহার করা শুরু করে। kibana.yml কনফিগারেশন ফাইলে, http থেকে https এ পরিবর্তন করুন এবং SSL সংযোগ সেটিংস সহ লাইন যোগ করুন। শেষ তিনটি লাইন ব্যবহারকারীর ব্রাউজার এবং কিবানার মধ্যে নিরাপদ যোগাযোগ কনফিগার করে।

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

এইভাবে, সেটিংস সম্পূর্ণ হয় এবং ইলাস্টিক সার্চ ক্লাস্টারে ডেটা অ্যাক্সেস এনক্রিপ্ট করা হয়।

বিনামূল্যে বা প্রদত্ত সাবস্ক্রিপশনে ইলাস্টিক স্ট্যাকের সক্ষমতা সম্পর্কে আপনার যদি প্রশ্ন থাকে, কাজগুলি পর্যবেক্ষণ করা বা একটি SIEM সিস্টেম তৈরি করা, তাহলে একটি অনুরোধ করুন ফিডব্যাক ফর্ম আমাদের ওয়েবসাইটে।

হ্যাব্রে ইলাস্টিক স্ট্যাক সম্পর্কে আমাদের আরও নিবন্ধ:

ইলাস্টিক স্ট্যাকে মেশিন লার্নিং বোঝা (ওরফে ইলাস্টিকসার্চ, ওরফে ELK)

ইলাস্টিক সার্চ সাইজিং

উত্স: www.habr.com