ProHoster > blog > Gweinyddiaeth > Elastig Wedi'i Gloi: Galluogi Opsiynau Diogelwch Clwstwr Elasticsearch ar gyfer Mynediad Tu Mewn a thu allan
Elastig Wedi'i Gloi: Galluogi Opsiynau Diogelwch Clwstwr Elasticsearch ar gyfer Mynediad Tu Mewn a thu allan
Mae Elastic Stack yn arf adnabyddus yn y farchnad systemau SIEM (mewn gwirionedd, nid yn unig nhw). Gall gasglu llawer o ddata o wahanol faint, yn sensitif ac nid yn sensitif iawn. Nid yw'n gwbl gywir os nad yw mynediad i'r elfennau Elastig Stack eu hunain wedi'i ddiogelu. Yn ddiofyn, mae holl elfennau Elastig mewn bocs (casglwyr Elasticsearch, Logstash, Kibana, a Beats) yn gweithredu ar brotocolau agored. Ac yn Kibana ei hun, mae dilysu yn anabl. Gellir sicrhau'r holl ryngweithiadau hyn, ac yn yr erthygl hon byddwn yn dweud wrthych sut i wneud hynny. Er hwylustod, rhannwyd y stori yn 3 bloc semantig:
Model rΓ΄l mynediad data
Diogelwch data o fewn clwstwr Elasticsearch
Diogelwch data y tu allan i glwstwr Elasticsearch
Manylion o dan y toriad.
Model rΓ΄l mynediad data
Os ydych chi'n gosod Elasticsearch ac yn ei diwnio mewn unrhyw ffordd, bydd mynediad i'r holl fynegeion yn agored i bawb. Wel, neu'r rhai sy'n gallu defnyddio cyrl. Er mwyn osgoi hyn, mae gan Elasticsearch fodel rΓ΄l sydd ar gael gan ddechrau gyda thanysgrifiad lefel Sylfaenol (sydd am ddim). Yn sgematig mae'n edrych fel hyn:
Beth sydd yn y llun
Mae defnyddwyr i gyd yn gallu mewngofnodi gan ddefnyddio tystlythyrau.
Mae adnoddau yn fynegeion, dogfennau, meysydd, defnyddwyr, ac endidau storio eraill (dim ond mewn tanysgrifiadau taledig y mae'r model rΓ΄l ar gyfer rhai adnoddau ar gael).
Mae gan Elasticsearch yn ddiofyn defnyddwyr mewn bocsysy maent ynghlwm rolau blwch. Ar Γ΄l galluogi gosodiadau diogelwch, gallwch ddechrau eu defnyddio ar unwaith.
Er mwyn galluogi diogelwch yn y gosodiadau Elasticsearch, mae angen i chi ei ychwanegu at y ffeil ffurfweddu (yn ddiofyn dyma elasticsearch/config/elasticsearch.yml) llinell newydd:
xpack.security.enabled: true
Ar Γ΄l newid y ffeil ffurfweddu, dechreuwch neu ailgychwyn Elasticsearch er mwyn i'r newidiadau ddod i rym. Y cam nesaf yw aseinio cyfrineiriau i ddefnyddwyr mewn bocsys. Gadewch i ni wneud hyn yn rhyngweithiol gyda'r gorchymyn isod:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y
Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]
Rydym yn gwirio:
[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1
Gallwch chi slap eich hun ar yr ysgwydd - mae'r gosodiadau ar ochr Elasticsearch wedi'u gwneud. Nawr dyma'r tro i sefydlu Kibana. Os ydych chi'n ei redeg nawr, bydd gwallau'n gostwng, felly mae'n bwysig creu storfa allweddi. Gwneir hyn mewn dau orchymyn (defnyddiwr cibana a'r cyfrinair a gofnodwyd yn y cam o greu cyfrineiriau yn Elasticsearch):
Os yw popeth yn gywir, bydd Kibana yn dechrau gofyn am enw defnyddiwr a chyfrinair. Mewn tanysgrifiad Sylfaenol, mae model rΓ΄l yn seiliedig ar ddefnyddwyr mewnol ar gael. Gan ddechrau gydag Aur, gallwch gysylltu systemau dilysu allanol - LDAP, PKI, Active Directory a systemau mewngofnodi Sengl.
Gall hawliau mynediad i wrthrychau y tu mewn i Elasticsearch hefyd fod yn gyfyngedig. Yn wir, i wneud yr un peth ar gyfer dogfennau neu feysydd, bydd angen tanysgrifiad taledig arnoch (mae'r moethusrwydd hwn yn dechrau gyda'r lefel Platinwm). Mae'r gosodiadau hyn ar gael yn rhyngwyneb Kibana neu drwy API Diogelwch. Gallwch wirio trwy'r ddewislen Dev Tools sydd eisoes yn gyfarwydd:
Pan fydd Elasticsearch yn rhedeg mewn clwstwr (sy'n gyffredin), mae gosodiadau diogelwch o fewn y clwstwr yn dod yn bwysig. Ar gyfer cyfathrebu diogel rhwng nodau, mae Elasticsearch yn defnyddio'r protocol TLS. Er mwyn sefydlu cyfathrebu diogel rhyngddynt, mae angen tystysgrif arnoch. Rydym yn cynhyrchu tystysgrif ac allwedd breifat mewn fformat PEM:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem
Ar Γ΄l gweithredu'r gorchymyn uchod, yn y cyfeiriadur /../elasticsearch bydd yr archif yn ymddangos elastig-stack-ca.zip. Y tu mewn iddo fe welwch dystysgrif ac allwedd breifat gydag estyniadau crt ΠΈ allweddol yn y drefn honno. Mae'n ddymunol eu gosod ar adnodd a rennir, y dylai fod mynediad iddo o bob nod yn y clwstwr.
Bellach mae angen ei dystysgrifau a'i allweddi preifat ei hun ar bob nod yn seiliedig ar y rhai yn y cyfeiriadur a rennir. Pan fydd y gorchymyn yn cael ei weithredu, gofynnir i chi osod cyfrinair. Gellir ychwanegu opsiynau -ip a -dns ychwanegol i wirio nodau cyfathrebu yn llawn.
O ganlyniad i weithredu'r gorchymyn, byddwn yn derbyn tystysgrif ac allwedd breifat yn y fformat PKCS #12, wedi'u diogelu gan gyfrinair. Mae'n aros i symud y ffeil a gynhyrchir p12 i'r cyfeiriadur ffurfweddu:
Mae opsiwn diogelwch arall - hidlo cyfeiriad IP (ar gael mewn tanysgrifiadau o'r lefel Aur). Yn caniatΓ‘u ichi greu rhestrau gwyn o gyfeiriadau IP y caniateir i nodau gael mynediad ohonynt.
Diogelwch data y tu allan i glwstwr Elasticsearch
Mae tu allan i'r clwstwr yn golygu cysylltu offerynnau allanol: Kibana, Logstash, Beats neu gleientiaid allanol eraill.
I ffurfweddu cefnogaeth ar gyfer https (yn lle http), ychwanegwch linellau newydd at elasticsearch.yml:
Ar Γ΄l ychwanegu'r allweddi, mae'r nodau Elasticsearch yn barod i'w cysylltu trwy https. Nawr gellir eu lansio.
Y cam nesaf yw creu allwedd cysylltiad Kibana a'i ychwanegu at y ffurfweddiad. Yn seiliedig ar y dystysgrif, sydd eisoes wedi'i lleoli yn y cyfeiriadur a rennir, byddwn yn cynhyrchu tystysgrif mewn fformat PEM (nid yw PKCS # 12 Kibana, Logstash a Beats yn cefnogi eto):
Mae'r allweddi yno, felly mae'n rhaid newid cyfluniad Kibana fel ei fod yn dechrau eu defnyddio. Yn y ffeil ffurfweddu kibana.yml, newid http i https ac ychwanegu llinellau gyda gosodiadau cysylltiad SSL. Mae'r tair llinell olaf yn sefydlu rhyngweithiad diogel rhwng porwr y defnyddiwr a Kibana.
Felly, mae'r gosodiadau wedi'u cwblhau ac mae mynediad at ddata yn y clwstwr Elasticsearch wedi'i amgryptio.
Os oes gennych gwestiynau am y nodweddion Elastic Stack ar danysgrifiadau am ddim neu Γ’ thΓ’l, tasgau ar gyfer monitro neu greu system SIEM, gadewch gais i mewn ffurflen adborth ar ein gwefan.