Elastic Stack은 SIEM 시스템 시장(실제로는 SIEM 시스템 시장뿐만 아니라)에서 잘 알려진 도구입니다. 민감하거나 별로 민감하지 않은 다양한 크기의 데이터를 수집할 수 있습니다. Elastic Stack 요소 자체에 대한 액세스가 보호되지 않는다면 이는 완전히 올바르지 않습니다. 기본적으로 모든 기본 제공 Elastic 요소(Elasticsearch, Logstash, Kibana 및 Beats 수집기)는 개방형 프로토콜에서 실행됩니다. 그리고 Kibana 자체에서는 인증이 비활성화되어 있습니다. 이러한 모든 상호 작용은 보호될 수 있으며 이 문서에서는 이를 수행하는 방법을 알려 드리겠습니다. 편의상 내러티브를 3개의 의미 블록으로 나누었습니다.

• 역할 기반 데이터 액세스 모델
• Elasticsearch 클러스터 내의 데이터 보안
• Elasticsearch 클러스터 외부의 데이터 보호

컷 아래의 세부 사항.

역할 기반 데이터 액세스 모델

Elasticsearch를 설치하고 어떤 방식으로든 조정하지 않으면 모든 사람이 모든 인덱스에 액세스할 수 있습니다. 글쎄, 또는 컬을 사용할 수 있는 사람들. 이를 방지하기 위해 Elasticsearch에는 기본 구독(무료)부터 사용할 수 있는 역할 모델이 있습니다. 개략적으로 보면 다음과 같습니다.

사진에는 ​​무엇이 있나요?

• 사용자는 자신의 자격 증명을 사용하여 로그인할 수 있는 모든 사람입니다.
• 역할은 권한의 집합입니다.
• 권리는 특권의 집합입니다.
• 권한은 쓰기, 읽기, 삭제 등의 권한입니다. (전체 권한 목록)
• 리소스는 인덱스, 문서, 필드, 사용자 및 기타 저장소 엔터티입니다(일부 리소스의 역할 모델은 유료 구독에서만 사용할 수 있음).

기본적으로 Elasticsearch에는 박스 사용자, 여기에 첨부되어 있습니다. 상자 역할. 보안 설정을 활성화하면 즉시 사용할 수 있습니다.

Elasticsearch 설정에서 보안을 활성화하려면 이를 구성 파일에 추가해야 합니다(기본적으로 이는 탄력적 검색/config/elasticsearch.yml) 새 줄:

xpack.security.enabled: true

구성 파일을 변경한 후 Elasticsearch를 시작하거나 다시 시작하여 변경 사항을 적용하세요. 다음 단계는 Box 사용자에게 비밀번호를 할당하는 것입니다. 아래 명령을 사용하여 대화형으로 이 작업을 수행해 보겠습니다.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

우리는 다음을 확인합니다.

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

안심하셔도 됩니다. Elasticsearch 측의 설정이 완료되었습니다. 이제 Kibana를 구성할 차례입니다. 지금 실행하면 오류가 발생하므로 키스토어를 생성하는 것이 중요합니다. 이는 두 가지 명령으로 수행됩니다(사용자 키바나 Elasticsearch의 비밀번호 생성 단계에서 입력한 비밀번호):

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

모든 것이 정확하면 Kibana는 로그인과 비밀번호를 묻기 시작합니다. 기본 구독에는 내부 사용자를 기반으로 한 역할 모델이 포함되어 있습니다. Gold부터는 LDAP, PKI, Active Directory 및 Single Sign-On 시스템과 같은 외부 인증 시스템을 연결할 수 있습니다.

Elasticsearch 내부 개체에 대한 액세스 권한도 제한될 수 있습니다. 그러나 문서나 필드에 대해 동일한 작업을 수행하려면 유료 구독이 필요합니다(이 럭셔리는 Platinum 레벨부터 시작됩니다). 이러한 설정은 Kibana 인터페이스나 다음을 통해 사용할 수 있습니다. 보안 API. 이미 익숙한 Dev Tools 메뉴를 통해 확인할 수 있습니다.

역할 만들기

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

사용자 생성

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

Elasticsearch 클러스터 내의 데이터 보안

Elasticsearch가 클러스터에서 실행되면(일반적으로) 클러스터 내의 보안 설정이 중요해집니다. 노드 간 보안 통신을 위해 Elasticsearch는 TLS 프로토콜을 사용합니다. 이들 간의 보안 상호 작용을 설정하려면 인증서가 필요합니다. PEM 형식으로 인증서와 개인 키를 생성합니다.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

위 명령어를 실행한 후 해당 디렉토리에서 /../탄성검색 아카이브가 나타납니다 탄력적 스택-ca.zip. 그 안에는 확장명이 포함된 인증서와 개인 키가 있습니다. crt и 키 각기. 클러스터의 모든 노드에서 액세스할 수 있는 공유 리소스에 배치하는 것이 좋습니다.

이제 각 노드에는 공유 디렉터리에 있는 인증서와 개인 키가 필요합니다. 명령을 실행하면 비밀번호를 설정하라는 메시지가 표시됩니다. 상호 작용하는 노드를 완벽하게 확인하기 위해 추가 옵션 -ip 및 -dns를 추가할 수 있습니다.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

명령을 실행하면 비밀번호로 보호되는 PKCS#12 형식의 인증서와 개인 키를 받게 됩니다. 이제 남은 것은 생성된 파일을 옮기는 것뿐이다. p12 구성 디렉터리로:

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

형식으로 인증서에 비밀번호를 추가하십시오. p12 각 노드의 키 저장소 및 신뢰 저장소:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

이미 알려진 탄력적 검색.yml 남은 것은 인증서 데이터가 포함된 행을 추가하는 것입니다.

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

모든 Elasticsearch 노드를 시작하고 실행합니다. 컬. 모든 것이 올바르게 완료되면 여러 노드가 포함된 응답이 반환됩니다.

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

또 다른 보안 옵션인 IP 주소 필터링(골드 레벨 구독 시 사용 가능)이 있습니다. 노드에 액세스할 수 있는 IP 주소의 화이트리스트를 생성할 수 있습니다.

Elasticsearch 클러스터 외부의 데이터 보호

클러스터 외부는 Kibana, Logstash, Beats 또는 기타 외부 클라이언트와 같은 외부 도구를 연결하는 것을 의미합니다.

http 대신 https에 대한 지원을 구성하려면 elasticsearch.yml에 새 줄을 추가하세요.

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

왜냐하면 인증서는 비밀번호로 보호되어 있으므로 각 노드의 키 저장소와 신뢰 저장소에 추가하세요.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

키를 추가하면 Elasticsearch 노드가 https를 통해 연결할 준비가 됩니다. 이제 시작할 수 있습니다.

다음 단계는 Kibana를 연결하기 위한 키를 생성하고 이를 구성에 추가하는 것입니다. 공유 디렉터리에 이미 있는 인증서를 기반으로 PEM 형식의 인증서를 생성합니다(PKCS#12 Kibana, Logstash 및 Beats는 아직 지원하지 않음).

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

남은 것은 생성된 키를 Kibana 구성을 사용하여 폴더에 압축을 푸는 것입니다.

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

키는 거기에 있으므로 남은 것은 키를 사용하기 시작하도록 Kibana 구성을 변경하는 것뿐입니다. kibana.yml 구성 파일에서 http를 https로 변경하고 SSL 연결 설정이 있는 줄을 추가합니다. 마지막 세 줄은 사용자 브라우저와 Kibana 간의 보안 통신을 구성합니다.

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

이로써 설정이 완료되고 Elasticsearch 클러스터의 데이터에 대한 액세스가 암호화됩니다.

무료 또는 유료 구독, 작업 모니터링 또는 SIEM 시스템 생성에 대한 Elastic Stack의 기능에 대해 질문이 있는 경우 다음으로 요청을 남겨주세요. 피드백 폼 우리 웹 사이트에

Habré의 Elastic Stack에 관한 추가 기사:

Elastic Stack(Elasticsearch라고도 함, ELK라고도 함)의 기계 학습 이해

Elasticsearch 크기 조정

출처 : habr.com