इलास्टिक स्टैक सिएम सिस्टम बाजार में एक प्रसिद्ध उपकरण है (वास्तव में, केवल वे ही नहीं)। यह बहुत सारे अलग-अलग आकार के डेटा एकत्र कर सकता है, संवेदनशील और बहुत संवेदनशील दोनों नहीं। यह पूरी तरह से सही नहीं है यदि इलास्टिक स्टैक तत्वों तक पहुंच स्वयं सुरक्षित नहीं है। डिफ़ॉल्ट रूप से, सभी इलास्टिक आउट-ऑफ़-द-बॉक्स तत्व (एलिस्टिक्स खोज, लॉगस्टैश, किबाना और बीट्स कलेक्टर) खुले प्रोटोकॉल पर चलते हैं। और किबाना में ही, प्रमाणीकरण अक्षम है। इन सभी इंटरैक्शन को सुरक्षित किया जा सकता है और इस लेख में हम आपको बताएंगे कि यह कैसे करना है। सुविधा के लिए, हमने कथा को 3 अर्थपूर्ण खंडों में विभाजित किया है:

• भूमिका-आधारित डेटा एक्सेस मॉडल
• इलास्टिक्स खोज क्लस्टर के भीतर डेटा सुरक्षा
• इलास्टिक्स खोज क्लस्टर के बाहर डेटा सुरक्षित करना

कट के अंतर्गत विवरण.

भूमिका-आधारित डेटा एक्सेस मॉडल

यदि आप Elasticsearch स्थापित करते हैं और इसे किसी भी तरह से ट्यून नहीं करते हैं, तो सभी इंडेक्स तक पहुंच सभी के लिए खुली होगी। खैर, या जो लोग कर्ल का उपयोग कर सकते हैं। इससे बचने के लिए, इलास्टिक्स खोज के पास एक रोल मॉडल है जो बेसिक सब्सक्रिप्शन (जो मुफ़्त है) से शुरू होता है। योजनाबद्ध रूप से यह कुछ इस तरह दिखता है:

चित्र में क्या है?

• उपयोगकर्ता वे सभी लोग हैं जो अपने क्रेडेंशियल का उपयोग करके लॉग इन कर सकते हैं।
• भूमिका अधिकारों का एक समूह है।
• अधिकार विशेषाधिकारों का एक समूह है।
• विशेषाधिकार लिखने, पढ़ने, हटाने आदि की अनुमति हैं। (विशेषाधिकारों की पूरी सूची)
• संसाधन अनुक्रमणिका, दस्तावेज़, फ़ील्ड, उपयोगकर्ता और अन्य भंडारण इकाइयाँ हैं (कुछ संसाधनों के लिए रोल मॉडल केवल सशुल्क सदस्यता के साथ उपलब्ध है)।

डिफ़ॉल्ट रूप से Elasticsearch है बॉक्स उपयोगकर्ता, जिससे वे जुड़े हुए हैं बॉक्स भूमिकाएँ. एक बार जब आप सुरक्षा सेटिंग्स सक्षम कर लेते हैं, तो आप तुरंत उनका उपयोग शुरू कर सकते हैं।

Elasticsearch सेटिंग्स में सुरक्षा सक्षम करने के लिए, आपको इसे कॉन्फ़िगरेशन फ़ाइल में जोड़ना होगा (डिफ़ॉल्ट रूप से यह है इलास्टिक्स खोज/config/elasticsearch.yml) नई पंक्ति:

xpack.security.enabled: true

कॉन्फ़िगरेशन फ़ाइल को बदलने के बाद, परिवर्तनों को प्रभावी करने के लिए Elasticsearch को लॉन्च या पुनरारंभ करें। अगला चरण बॉक्स उपयोगकर्ताओं को पासवर्ड निर्दिष्ट करना है। आइए इसे नीचे दिए गए आदेश का उपयोग करके अंतःक्रियात्मक रूप से करें:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

हम जाँच:

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

आप अपनी पीठ थपथपा सकते हैं - इलास्टिक्स खोज पक्ष पर सेटिंग्स पूरी हो गई हैं। अब किबाना को कॉन्फ़िगर करने का समय आ गया है। यदि आप इसे अभी चलाते हैं, तो त्रुटियाँ दिखाई देंगी, इसलिए एक कुंजी भंडार बनाना महत्वपूर्ण है। यह दो कमांड में किया जाता है (user Kibana और Elasticsearch में पासवर्ड निर्माण चरण में दर्ज किया गया पासवर्ड):

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

यदि सब कुछ सही है, तो किबाना लॉगिन और पासवर्ड मांगना शुरू कर देगा। बेसिक सदस्यता में आंतरिक उपयोगकर्ताओं पर आधारित एक रोल मॉडल शामिल है। गोल्ड से शुरू करके, आप बाहरी प्रमाणीकरण सिस्टम - एलडीएपी, पीकेआई, एक्टिव डायरेक्ट्री और सिंगल साइन-ऑन सिस्टम कनेक्ट कर सकते हैं।

इलास्टिक्स खोज के अंदर वस्तुओं तक पहुंच के अधिकार भी सीमित किए जा सकते हैं। हालाँकि, दस्तावेज़ों या फ़ील्ड के लिए ऐसा करने के लिए, आपको एक सशुल्क सदस्यता की आवश्यकता होगी (यह विलासिता प्लैटिनम स्तर से शुरू होती है)। ये सेटिंग्स किबाना इंटरफ़ेस में या इसके माध्यम से उपलब्ध हैं सुरक्षा एपीआई. आप पहले से ही परिचित देव टूल्स मेनू के माध्यम से जांच कर सकते हैं:

एक भूमिका बनाना

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

एक उपयोगकर्ता बनाना

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

इलास्टिक्स खोज क्लस्टर के भीतर डेटा सुरक्षा

जब Elasticsearch एक क्लस्टर में चलता है (जो सामान्य है), क्लस्टर के भीतर सुरक्षा सेटिंग्स महत्वपूर्ण हो जाती हैं। नोड्स के बीच सुरक्षित संचार के लिए, इलास्टिक्स खोज टीएलएस प्रोटोकॉल का उपयोग करता है। उनके बीच सुरक्षित संपर्क स्थापित करने के लिए, आपको एक प्रमाणपत्र की आवश्यकता है। हम PEM प्रारूप में एक प्रमाणपत्र और निजी कुंजी बनाते हैं:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

उपरोक्त आदेश को निष्पादित करने के बाद, निर्देशिका में /../लोचदार खोज पुरालेख दिखाई देगा इलास्टिक-स्टैक-सीए.ज़िप. इसके अंदर आपको एक प्रमाणपत्र और एक्सटेंशन के साथ एक निजी कुंजी मिलेगी CRT и कुंजी क्रमश। उन्हें एक साझा संसाधन पर रखने की सलाह दी जाती है, जिसे क्लस्टर के सभी नोड्स से एक्सेस किया जाना चाहिए।

प्रत्येक नोड को अब साझा निर्देशिका के आधार पर अपने स्वयं के प्रमाणपत्र और निजी कुंजी की आवश्यकता है। कमांड निष्पादित करते समय, आपसे पासवर्ड सेट करने के लिए कहा जाएगा। इंटरैक्टिंग नोड्स के पूर्ण सत्यापन के लिए आप अतिरिक्त विकल्प -आईपी और -डीएनएस जोड़ सकते हैं।

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

कमांड को निष्पादित करने के परिणामस्वरूप, हमें पासवर्ड द्वारा संरक्षित PKCS#12 प्रारूप में एक प्रमाणपत्र और एक निजी कुंजी प्राप्त होगी। जो कुछ बचा है वह जेनरेट की गई फ़ाइल को स्थानांतरित करना है p12 कॉन्फ़िगरेशन निर्देशिका में:

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

प्रारूप में प्रमाणपत्र में एक पासवर्ड जोड़ें p12 प्रत्येक नोड पर कीस्टोर और ट्रस्टस्टोर में:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

पहले से ही ज्ञात था इलास्टिक्सर्च.yml जो कुछ बचा है वह प्रमाणपत्र डेटा के साथ पंक्तियाँ जोड़ना है:

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

हम सभी Elasticsearch नोड्स लॉन्च करते हैं और निष्पादित करते हैं कर्ल. यदि सब कुछ सही ढंग से किया गया था, तो कई नोड्स के साथ एक प्रतिक्रिया लौटा दी जाएगी:

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

एक और सुरक्षा विकल्प है - आईपी एड्रेस फ़िल्टरिंग (गोल्ड लेवल से सब्सक्रिप्शन में उपलब्ध)। आपको उन आईपी पतों की श्वेत सूचियां बनाने की अनुमति देता है जिनसे आपको नोड्स तक पहुंचने की अनुमति है।

इलास्टिक्स खोज क्लस्टर के बाहर डेटा सुरक्षित करना

क्लस्टर के बाहर का अर्थ है बाहरी उपकरणों को जोड़ना: किबाना, लॉगस्टैश, बीट्स या अन्य बाहरी क्लाइंट।

https (http के बजाय) के लिए समर्थन कॉन्फ़िगर करने के लिए,asticsearch.yml में नई लाइनें जोड़ें:

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

क्योंकि प्रमाणपत्र पासवर्ड से सुरक्षित है, इसे प्रत्येक नोड पर कीस्टोर और ट्रस्टस्टोर में जोड़ें:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

कुंजियाँ जोड़ने के बाद, Elasticsearch नोड्स https के माध्यम से कनेक्ट होने के लिए तैयार हैं। अब इन्हें लॉन्च किया जा सकता है.

अगला कदम किबाना को जोड़ने और इसे कॉन्फ़िगरेशन में जोड़ने के लिए एक कुंजी बनाना है। साझा निर्देशिका में पहले से मौजूद प्रमाणपत्र के आधार पर, हम PEM प्रारूप में एक प्रमाणपत्र तैयार करेंगे (PKCS#12 किबाना, लॉगस्टैश और बीट्स अभी तक समर्थन नहीं करते हैं):

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

जो कुछ बचा है वह बनाई गई कुंजियों को किबाना कॉन्फ़िगरेशन वाले फ़ोल्डर में अनपैक करना है:

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

कुंजियाँ वहाँ हैं, इसलिए जो कुछ बचा है वह किबाना कॉन्फ़िगरेशन को बदलना है ताकि वह उनका उपयोग करना शुरू कर दे। Kibana.yml कॉन्फ़िगरेशन फ़ाइल में, http को https में बदलें और SSL कनेक्शन सेटिंग्स के साथ लाइनें जोड़ें। अंतिम तीन पंक्तियाँ उपयोगकर्ता के ब्राउज़र और किबाना के बीच सुरक्षित संचार को कॉन्फ़िगर करती हैं।

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

इस प्रकार, सेटिंग्स पूरी हो जाती हैं और इलास्टिक्स खोज क्लस्टर में डेटा तक पहुंच एन्क्रिप्ट हो जाती है।

यदि आपके पास मुफ़्त या सशुल्क सब्सक्रिप्शन, कार्यों की निगरानी या एसआईईएम सिस्टम बनाने पर इलास्टिक स्टैक की क्षमताओं के बारे में प्रश्न हैं, तो एक अनुरोध छोड़ें प्रतिपुष्टी फ़ार्म हमारी वेबसाइट पर

हैब्रे पर इलास्टिक स्टैक के बारे में हमारे और लेख:

इलास्टिक स्टैक में मशीन लर्निंग को समझना (उर्फ इलास्टिक्स खोज, उर्फ ​​ईएलके)

इलास्टिक्स खोज आकार

स्रोत: www.habr.com