Elastic Stack არის ცნობილი ინსტრუმენტი SIEM სისტემების ბაზარზე (სინამდვილეში, არა მხოლოდ მათ). მას შეუძლია შეაგროვოს ბევრი სხვადასხვა ზომის მონაცემი, როგორც მგრძნობიარე, ასევე არც თუ ისე მგრძნობიარე. მთლად სწორი არ არის, თუ თავად Elastic Stack ელემენტებზე წვდომა არ არის დაცული. ნაგულისხმევად, ყველა Elastic-ის ელემენტი (Elasticsearch, Logstash, Kibana და Beats კოლექციონერები) მუშაობს ღია პროტოკოლებზე. ხოლო თავად კიბანაში ავტორიზაცია გამორთულია. ყველა ეს ურთიერთქმედება შეიძლება იყოს დაცული და ამ სტატიაში ჩვენ გეტყვით, თუ როგორ უნდა გააკეთოთ ეს. მოხერხებულობისთვის, ჩვენ დავყავით თხრობა 3 სემანტიკურ ბლოკად:

• როლებზე დაფუძნებული მონაცემების წვდომის მოდელი
• მონაცემთა უსაფრთხოება Elasticsearch კლასტერში
• მონაცემთა დაცვა Elasticsearch კლასტერის გარეთ

დეტალები ჭრის ქვეშ.

როლებზე დაფუძნებული მონაცემების წვდომის მოდელი

თუ დააინსტალირებთ Elasticsearch-ს და არანაირად არ დაარეგულირებთ, ყველა ინდექსზე წვდომა ყველასთვის ღია იქნება. კარგად, ან ვისაც შეუძლია გამოიყენოს curl. ამის თავიდან ასაცილებლად, Elasticsearch-ს აქვს მისაბაძი მოდელი, რომელიც ხელმისაწვდომია Basic გამოწერით დაწყებული (რომელიც უფასოა). სქემატურად ასე გამოიყურება:

რა არის სურათზე

• მომხმარებლები არიან ყველა, ვისაც შეუძლია შესვლა თავისი რწმუნებათა სიგელების გამოყენებით.
• როლი არის უფლებების ერთობლიობა.
• უფლებები არის პრივილეგიების ერთობლიობა.
• პრივილეგიები არის დაწერის, წაკითხვის, წაშლის და ა.შ. (პრივილეგიების სრული სია)
• რესურსები არის ინდექსები, დოკუმენტები, ველები, მომხმარებლები და სხვა საცავის ერთეულები (ზოგიერთი რესურსის მისაბაძი მაგალითი ხელმისაწვდომია მხოლოდ ფასიანი გამოწერებით).

ნაგულისხმევად Elasticsearch-ს აქვს ყუთის მომხმარებლები, რომელსაც ისინი ერთვის ყუთის როლები. უსაფრთხოების პარამეტრების ჩართვის შემდეგ, შეგიძლიათ დაუყოვნებლივ დაიწყოთ მათი გამოყენება.

Elasticsearch პარამეტრებში უსაფრთხოების ჩასართავად, თქვენ უნდა დაამატოთ ის კონფიგურაციის ფაილში (ნაგულისხმევად ეს არის elasticsearch/config/elasticsearch.yml) ახალი ხაზი:

xpack.security.enabled: true

კონფიგურაციის ფაილის შეცვლის შემდეგ გაუშვით ან გადატვირთეთ Elasticsearch ცვლილებების ძალაში შესვლისთვის. შემდეგი ნაბიჯი არის პაროლების მინიჭება ყუთის მომხმარებლებისთვის. მოდით გავაკეთოთ ეს ინტერაქტიულად ქვემოთ მოცემული ბრძანების გამოყენებით:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

ჩვენ შეამოწმოთ:

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

შეგიძლიათ ზურგზე ხელი მოხვიდეთ - Elasticsearch-ის გვერდის პარამეტრები დასრულებულია. ახლა კიბანას კონფიგურაციის დროა. თუ ახლავე გაუშვით, გამოჩნდება შეცდომები, ამიტომ მნიშვნელოვანია გასაღების მაღაზიის შექმნა. ეს კეთდება ორ ბრძანებაში (მომხმარებელი კიბანა და პაროლი შეყვანილი პაროლის შექმნის ეტაპზე Elasticsearch-ში):

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

თუ ყველაფერი სწორია, კიბანა დაიწყებს შესვლისა და პაროლის მოთხოვნას. ძირითადი გამოწერა მოიცავს როლურ მოდელს, რომელიც დაფუძნებულია შიდა მომხმარებლებზე. Gold-ით დაწყებული, შეგიძლიათ დააკავშიროთ გარე ავტორიზაციის სისტემები - LDAP, PKI, Active Directory და Single sign-on სისტემები.

Elasticsearch-ის შიგნით არსებულ ობიექტებზე წვდომის უფლებები ასევე შეიძლება შეიზღუდოს. თუმცა, დოკუმენტების ან ველებისთვის იგივე რომ გააკეთოთ, დაგჭირდებათ ფასიანი გამოწერა (ეს ფუფუნება იწყება პლატინის დონით). ეს პარამეტრები ხელმისაწვდომია Kibana ინტერფეისში ან მეშვეობით უსაფრთხოების API. შეგიძლიათ შეამოწმოთ უკვე ნაცნობი Dev Tools მენიუდან:

როლის შექმნა

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

მომხმარებლის შექმნა

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

მონაცემთა უსაფრთხოება Elasticsearch კლასტერში

როდესაც Elasticsearch მუშაობს კლასტერში (რაც ჩვეულებრივია), უსაფრთხოების პარამეტრები კლასტერში მნიშვნელოვანი ხდება. კვანძებს შორის უსაფრთხო კომუნიკაციისთვის, Elasticsearch იყენებს TLS პროტოკოლს. მათ შორის უსაფრთხო ურთიერთქმედების დასაყენებლად საჭიროა სერთიფიკატი. ჩვენ ვქმნით სერტიფიკატს და პირად გასაღებს PEM ფორმატში:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

ზემოთ მოყვანილი ბრძანების შესრულების შემდეგ, დირექტორიაში /../elasticsearch გამოჩნდება არქივი elastic-stack-ca.zip. მის შიგნით ნახავთ სერთიფიკატს და პირად გასაღებს გაფართოებებით crt и გასაღები შესაბამისად. მიზანშეწონილია მათი განთავსება საზიარო რესურსზე, რომელიც ხელმისაწვდომი უნდა იყოს კლასტერის ყველა კვანძიდან.

ახლა თითოეულ კვანძს სჭირდება საკუთარი სერთიფიკატები და პირადი გასაღებები, რომლებიც დაფუძნებულია საერთო დირექტორიაში. ბრძანების შესრულებისას მოგეთხოვებათ პაროლის დაყენება. თქვენ შეგიძლიათ დაამატოთ დამატებითი პარამეტრები -ip და -dns ურთიერთქმედების კვანძების სრული გადამოწმებისთვის.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

ბრძანების შესრულების შედეგად მივიღებთ სერთიფიკატს და პირად გასაღებს PKCS#12 ფორმატში, პაროლით დაცულ. რჩება მხოლოდ გენერირებული ფაილის გადატანა p12 კონფიგურაციის დირექტორიაში:

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

დაამატეთ პაროლი სერთიფიკატს ფორმატში p12 keystore-ში და truststore თითოეულ კვანძზე:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

უკვე ცნობილია elasticsearch.yml რჩება მხოლოდ სტრიქონების დამატება სერტიფიკატის მონაცემებით:

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

ჩვენ ვიწყებთ Elasticsearch-ის ყველა კვანძს და ვასრულებთ curl. თუ ყველაფერი გაკეთდა სწორად, დაბრუნდება პასუხი რამდენიმე კვანძით:

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

არსებობს უსაფრთხოების კიდევ ერთი ვარიანტი - IP მისამართის გაფილტვრა (ხელმისაწვდომია ოქროს დონის გამოწერებში). საშუალებას გაძლევთ შექმნათ IP მისამართების თეთრი სიები, საიდანაც გეძლევათ კვანძებზე წვდომის უფლება.

მონაცემთა დაცვა Elasticsearch კლასტერის გარეთ

კლასტერის გარეთ ნიშნავს გარე ხელსაწყოების დაკავშირებას: Kibana, Logstash, Beats ან სხვა გარე კლიენტები.

https-ის მხარდაჭერის კონფიგურაციისთვის (http-ის ნაცვლად), დაამატეთ ახალი ხაზები elasticsearch.yml-ს:

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

იმიტომ რომ სერთიფიკატი დაცულია პაროლით, დაამატეთ იგი გასაღებების შესანახად და თითოეულ კვანძზე:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

გასაღებების დამატების შემდეგ, Elasticsearch კვანძები მზად არიან დასაკავშირებლად https-ის საშუალებით. ახლა მათი გაშვება შესაძლებელია.

შემდეგი ნაბიჯი არის გასაღების შექმნა Kibana-ს დასაკავშირებლად და კონფიგურაციაში დასამატებლად. სერტიფიკატის საფუძველზე, რომელიც უკვე განთავსებულია საზიარო დირექტორიაში, ჩვენ გამოვქმნით სერთიფიკატს PEM ფორმატში (PKCS#12 Kibana, Logstash და Beats ჯერ არ არის მხარდაჭერილი):

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

რჩება მხოლოდ შექმნილი კლავიშების გახსნა საქაღალდეში Kibana კონფიგურაციით:

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

გასაღებები იქ არის, ასე რომ რჩება მხოლოდ Kibana-ს კონფიგურაციის შეცვლა ისე, რომ მან დაიწყო მათი გამოყენება. kibana.yml კონფიგურაციის ფაილში შეცვალეთ http https-ზე და დაამატეთ ხაზები SSL კავშირის პარამეტრებით. ბოლო სამი ხაზი უზრუნველყოფს უსაფრთხო კომუნიკაციის კონფიგურაციას მომხმარებლის ბრაუზერსა და Kibana-ს შორის.

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

ამრიგად, პარამეტრები დასრულებულია და Elasticsearch კლასტერში მონაცემებზე წვდომა დაშიფრულია.

თუ თქვენ გაქვთ შეკითხვები Elastic Stack-ის შესაძლებლობებზე უფასო ან ფასიანი გამოწერების, დავალების მონიტორინგის ან SIEM სისტემის შექმნის შესახებ, დატოვეთ მოთხოვნა უკუკავშირის ფორმა ჩვენს ვებგვერდზე.

ჩვენი მეტი სტატია ელასტიური სტეკის შესახებ Habré-ზე:

მანქანათმცოდნეობის გაგება ელასტიურ დასტაში (aka Elasticsearch, aka ELK)

ელასტიკების ძიება ზომის

წყარო: www.habr.com