ProHoster > Blogs > AdministrÄcija > ElastÄ«ga zem slÄdzenes un atslÄgas: iespÄjo Elasticsearch klastera droŔības opcijas, lai piekļūtu no iekÅ”puses un Ärpuses
ElastÄ«ga zem slÄdzenes un atslÄgas: iespÄjo Elasticsearch klastera droŔības opcijas, lai piekļūtu no iekÅ”puses un Ärpuses
Elastic Stack ir labi zinÄms rÄ«ks SIEM sistÄmu tirgÅ« (patiesÄ«bÄ ne tikai viÅiem). Tas var apkopot daudz dažÄda izmÄra datu, gan sensitÄ«vu, gan ne pÄrÄk sensitÄ«vu. Nav pilnÄ«gi pareizi, ja piekļuve paÅ”iem Elastic Stack elementiem nav aizsargÄta. PÄc noklusÄjuma visi elastÄ«gie elementi (Elasticsearch, Logstash, Kibana un Beats kolekcionÄri) darbojas ar atvÄrtiem protokoliem. Un paÅ”Ä KibanÄ autentifikÄcija ir atspÄjota. Visas Ŕīs mijiedarbÄ«bas var nodroÅ”inÄt, un Å”ajÄ rakstÄ mÄs jums pateiksim, kÄ to izdarÄ«t. ÄrtÄ«bas labad mÄs sadalÄ«jÄm stÄstÄ«jumu 3 semantiskos blokos:
Uz lomu balstīts datu piekļuves modelis
Datu droŔība Elasticsearch klasterī
Datu aizsardzÄ«ba Ärpus Elasticsearch klastera
SÄ«kÄka informÄcija zem griezuma.
Uz lomu balstīts datu piekļuves modelis
Ja instalÄjat Elasticsearch un nekÄdÄ veidÄ to neregulÄjat, piekļuve visiem indeksiem bÅ«s pieejama ikvienam. Nu, vai tie, kas var izmantot ÄokuroÅ”anÄs. Lai no tÄ izvairÄ«tos, Elasticsearch ir paraugs, kas ir pieejams, sÄkot ar pamata abonementu (kas ir bezmaksas). Shematiski tas izskatÄs apmÄram Å”Ädi:
Kas ir bildÄ
LietotÄji ir visi, kas var pieteikties, izmantojot savus akreditÄcijas datus.
Resursi ir indeksi, dokumenti, lauki, lietotÄji un citas krÄtuves entÄ«tijas (dažu resursu lomas modelis ir pieejams tikai ar maksas abonementiem).
PÄc noklusÄjuma Elasticsearch ir kastes lietotÄji, kam tie ir pievienoti kastes lomas. Kad esat iespÄjojis droŔības iestatÄ«jumus, varat nekavÄjoties sÄkt tos lietot.
Lai iespÄjotu droŔību Elasticsearch iestatÄ«jumos, tas jÄpievieno konfigurÄcijas failam (pÄc noklusÄjuma tas ir elasticsearch/config/elasticsearch.yml) jauna rinda:
xpack.security.enabled: true
PÄc konfigurÄcijas faila maiÅas palaidiet vai restartÄjiet Elasticsearch, lai izmaiÅas stÄtos spÄkÄ. NÄkamais solis ir paroļu pieŔķirÅ”ana lodziÅa lietotÄjiem. DarÄ«sim to interaktÄ«vi, izmantojot tÄlÄk norÄdÄ«to komandu:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y
Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]
PÄrbaude:
[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1
Varat paglaudÄ«t sev pa muguru ā iestatÄ«jumi Elasticsearch pusÄ ir pabeigti. Tagad ir pienÄcis laiks konfigurÄt Kibana. Ja palaižat to tagad, parÄdÄ«sies kļūdas, tÄpÄc ir svarÄ«gi izveidot atslÄgu krÄtuvi. Tas tiek darÄ«ts divÄs komandÄs (lietotÄjs kibana un Elasticsearch paroles izveides solÄ« ievadÄ«tÄ parole):
Ja viss ir pareizi, Kibana sÄks prasÄ«t lietotÄjvÄrdu un paroli. Pamata abonementÄ ir iekļauts paraugs, kura pamatÄ ir iekÅ”Äjie lietotÄji. SÄkot ar Gold, jÅ«s varat savienot ÄrÄjÄs autentifikÄcijas sistÄmas - LDAP, PKI, Active Directory un Single sign-on sistÄmas.
Piekļuves tiesÄ«bas objektiem Elasticsearch iekÅ”pusÄ var arÄ« ierobežot. TomÄr, lai to izdarÄ«tu ar dokumentiem vai laukiem, jums bÅ«s nepiecieÅ”ams maksas abonements (Ŕī greznÄ«ba sÄkas ar platÄ«na lÄ«meni). Å ie iestatÄ«jumi ir pieejami Kibana saskarnÄ vai izmantojot DroŔības API. Varat pÄrbaudÄ«t, izmantojot jau pazÄ«stamo Dev Tools izvÄlni:
Kad Elasticsearch darbojas klasterÄ« (kas ir izplatÄ«ts), droŔības iestatÄ«jumi klasterÄ« kļūst svarÄ«gi. DroÅ”ai saziÅai starp mezgliem Elasticsearch izmanto TLS protokolu. Lai iestatÄ«tu droÅ”u mijiedarbÄ«bu starp tÄm, jums ir nepiecieÅ”ams sertifikÄts. MÄs Ä£enerÄjam sertifikÄtu un privÄto atslÄgu PEM formÄtÄ:
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem
PÄc iepriekÅ” minÄtÄs komandas izpildÄ«Å”anas direktorijÄ /../elasticsearch parÄdÄ«sies arhÄ«vs elastic-stack-ca.zip. TÄ iekÅ”pusÄ atradÄ«sit sertifikÄtu un privÄto atslÄgu ar paplaÅ”inÄjumiem crt Šø taustiÅÅ” attiecÄ«gi. Ieteicams tos ievietot koplietotÄ resursÄ, kuram jÄbÅ«t pieejamam no visiem klastera mezgliem.
Katram mezglam tagad ir nepiecieÅ”ami savi sertifikÄti un privÄtÄs atslÄgas, pamatojoties uz tiem, kas atrodas koplietotajÄ direktorijÄ. Izpildot komandu, jums tiks lÅ«gts iestatÄ«t paroli. Varat pievienot papildu opcijas -ip un -dns, lai pilnÄ«bÄ pÄrbaudÄ«tu mijiedarbojoÅ”os mezglus.
Komandas izpildes rezultÄtÄ saÅemsim sertifikÄtu un privÄto atslÄgu PKCS#12 formÄtÄ, aizsargÄtu ar paroli. Atliek tikai pÄrvietot Ä£enerÄto failu p12 uz konfigurÄcijas direktoriju:
Ir vÄl viena droŔības iespÄja - IP adreÅ”u filtrÄÅ”ana (pieejama abonementos no Zelta lÄ«meÅa). Ä»auj izveidot baltos sarakstus ar IP adresÄm, no kurÄm jums ir atļauts piekļūt mezgliem.
Datu aizsardzÄ«ba Ärpus Elasticsearch klastera
Ärpus klastera nozÄ«mÄ ÄrÄjo rÄ«ku savienoÅ”anu: Kibana, Logstash, Beats vai citus ÄrÄjos klientus.
Lai konfigurÄtu https atbalstu (nevis http), pievienojiet jaunas rindiÅas vietnei elasticsearch.yml:
PÄc atslÄgu pievienoÅ”anas Elasticsearch mezgli ir gatavi izveidot savienojumu, izmantojot https. Tagad tos var palaist.
NÄkamais solis ir izveidot atslÄgu, lai savienotu Kibana un pievienotu to konfigurÄcijai. Pamatojoties uz sertifikÄtu, kas jau atrodas koplietotajÄ direktorijÄ, mÄs Ä£enerÄsim sertifikÄtu PEM formÄtÄ (PKCS#12 Kibana, Logstash un Beats vÄl neatbalsta):
AtslÄgas ir, tÄpÄc atliek tikai mainÄ«t Kibana konfigurÄciju, lai tÄ sÄktu tÄs lietot. KonfigurÄcijas failÄ kibana.yml mainiet http uz https un pievienojiet rindas ar SSL savienojuma iestatÄ«jumiem. PÄdÄjÄs trÄ«s rindas konfigurÄ droÅ”u saziÅu starp lietotÄja pÄrlÅ«kprogrammu un Kibana.
TÄdÄjÄdi iestatÄ«jumi ir pabeigti un piekļuve datiem Elasticsearch klasterÄ« ir Å”ifrÄta.
Ja jums ir jautÄjumi par Elastic Stack iespÄjÄm attiecÄ«bÄ uz bezmaksas vai maksas abonementiem, uzraudzÄ«bas uzdevumiem vai SIEM sistÄmas izveidi, atstÄjiet pieprasÄ«jumu atsauksmju veidlapa mÅ«su mÄjas lapÄ.