Elastic Stack ir labi zināms rīks SIEM sistēmu tirgū (patiesībā ne tikai viņiem). Tas var apkopot daudz dažāda izmēra datu, gan sensitīvu, gan ne pārāk sensitīvu. Nav pilnīgi pareizi, ja piekļuve pašiem Elastic Stack elementiem nav aizsargāta. Pēc noklusējuma visi elastīgie elementi (Elasticsearch, Logstash, Kibana un Beats kolekcionāri) darbojas ar atvērtiem protokoliem. Un pašā Kibanā autentifikācija ir atspējota. Visas šīs mijiedarbības var nodrošināt, un šajā rakstā mēs jums pateiksim, kā to izdarīt. Ērtības labad mēs sadalījām stāstījumu 3 semantiskos blokos:

• Uz lomu balstīts datu piekļuves modelis
• Datu drošība Elasticsearch klasterī
• Datu aizsardzība ārpus Elasticsearch klastera

Sīkāka informācija zem griezuma.

Uz lomu balstīts datu piekļuves modelis

Ja instalējat Elasticsearch un nekādā veidā to neregulējat, piekļuve visiem indeksiem būs pieejama ikvienam. Nu, vai tie, kas var izmantot čokurošanās. Lai no tā izvairītos, Elasticsearch ir paraugs, kas ir pieejams, sākot ar pamata abonementu (kas ir bezmaksas). Shematiski tas izskatās apmēram šādi:

Kas ir bildē

• Lietotāji ir visi, kas var pieteikties, izmantojot savus akreditācijas datus.
• Loma ir tiesību kopums.
• Tiesības ir privilēģiju kopums.
• Privilēģijas ir atļaujas rakstīt, lasīt, dzēst utt. (Pilns privilēģiju saraksts)
• Resursi ir indeksi, dokumenti, lauki, lietotāji un citas krātuves entītijas (dažu resursu lomas modelis ir pieejams tikai ar maksas abonementiem).

Pēc noklusējuma Elasticsearch ir kastes lietotāji, kam tie ir pievienoti kastes lomas. Kad esat iespējojis drošības iestatījumus, varat nekavējoties sākt tos lietot.

Lai iespējotu drošību Elasticsearch iestatījumos, tas jāpievieno konfigurācijas failam (pēc noklusējuma tas ir elasticsearch/config/elasticsearch.yml) jauna rinda:

xpack.security.enabled: true

Pēc konfigurācijas faila maiņas palaidiet vai restartējiet Elasticsearch, lai izmaiņas stātos spēkā. Nākamais solis ir paroļu piešķiršana lodziņa lietotājiem. Darīsim to interaktīvi, izmantojot tālāk norādīto komandu:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

Pārbaude:

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

Varat paglaudīt sev pa muguru – iestatījumi Elasticsearch pusē ir pabeigti. Tagad ir pienācis laiks konfigurēt Kibana. Ja palaižat to tagad, parādīsies kļūdas, tāpēc ir svarīgi izveidot atslēgu krātuvi. Tas tiek darīts divās komandās (lietotājs kibana un Elasticsearch paroles izveides solī ievadītā parole):

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

Ja viss ir pareizi, Kibana sāks prasīt lietotājvārdu un paroli. Pamata abonementā ir iekļauts paraugs, kura pamatā ir iekšējie lietotāji. Sākot ar Gold, jūs varat savienot ārējās autentifikācijas sistēmas - LDAP, PKI, Active Directory un Single sign-on sistēmas.

Piekļuves tiesības objektiem Elasticsearch iekšpusē var arī ierobežot. Tomēr, lai to izdarītu ar dokumentiem vai laukiem, jums būs nepieciešams maksas abonements (šī greznība sākas ar platīna līmeni). Šie iestatījumi ir pieejami Kibana saskarnē vai izmantojot Drošības API. Varat pārbaudīt, izmantojot jau pazīstamo Dev Tools izvēlni:

Lomas veidošana

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

Lietotāja izveide

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

Datu drošība Elasticsearch klasterī

Kad Elasticsearch darbojas klasterī (kas ir izplatīts), drošības iestatījumi klasterī kļūst svarīgi. Drošai saziņai starp mezgliem Elasticsearch izmanto TLS protokolu. Lai iestatītu drošu mijiedarbību starp tām, jums ir nepieciešams sertifikāts. Mēs ģenerējam sertifikātu un privāto atslēgu PEM formātā:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

Pēc iepriekš minētās komandas izpildīšanas direktorijā /../elasticsearch parādīsies arhīvs elastic-stack-ca.zip. Tā iekšpusē atradīsit sertifikātu un privāto atslēgu ar paplašinājumiem crt и taustiņš attiecīgi. Ieteicams tos ievietot koplietotā resursā, kuram jābūt pieejamam no visiem klastera mezgliem.

Katram mezglam tagad ir nepieciešami savi sertifikāti un privātās atslēgas, pamatojoties uz tiem, kas atrodas koplietotajā direktorijā. Izpildot komandu, jums tiks lūgts iestatīt paroli. Varat pievienot papildu opcijas -ip un -dns, lai pilnībā pārbaudītu mijiedarbojošos mezglus.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

Komandas izpildes rezultātā saņemsim sertifikātu un privāto atslēgu PKCS#12 formātā, aizsargātu ar paroli. Atliek tikai pārvietot ģenerēto failu p12 uz konfigurācijas direktoriju:

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

Pievienojiet sertifikātam paroli šādā formātā p12 atslēgu krātuvē un uzticamības krātuvē katrā mezglā:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

Jau zināms elasticearch.yml Atliek tikai pievienot rindas ar sertifikāta datiem:

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

Mēs palaižam visus Elasticsearch mezglus un izpildām cirtot. Ja viss tika izdarīts pareizi, tiks atgriezta atbilde ar vairākiem mezgliem:

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

Ir vēl viena drošības iespēja - IP adrešu filtrēšana (pieejama abonementos no Zelta līmeņa). Ļauj izveidot baltos sarakstus ar IP adresēm, no kurām jums ir atļauts piekļūt mezgliem.

Datu aizsardzība ārpus Elasticsearch klastera

Ārpus klastera nozīmē ārējo rīku savienošanu: Kibana, Logstash, Beats vai citus ārējos klientus.

Lai konfigurētu https atbalstu (nevis http), pievienojiet jaunas rindiņas vietnei elasticsearch.yml:

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

Jo Sertifikāts ir aizsargāts ar paroli, pievienojiet to atslēgu krātuvei un uzticamības krātuvei katrā mezglā:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

Pēc atslēgu pievienošanas Elasticsearch mezgli ir gatavi izveidot savienojumu, izmantojot https. Tagad tos var palaist.

Nākamais solis ir izveidot atslēgu, lai savienotu Kibana un pievienotu to konfigurācijai. Pamatojoties uz sertifikātu, kas jau atrodas koplietotajā direktorijā, mēs ģenerēsim sertifikātu PEM formātā (PKCS#12 Kibana, Logstash un Beats vēl neatbalsta):

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

Atliek tikai izsaiņot izveidotās atslēgas mapē ar Kibana konfigurāciju:

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

Atslēgas ir, tāpēc atliek tikai mainīt Kibana konfigurāciju, lai tā sāktu tās lietot. Konfigurācijas failā kibana.yml mainiet http uz https un pievienojiet rindas ar SSL savienojuma iestatījumiem. Pēdējās trīs rindas konfigurē drošu saziņu starp lietotāja pārlūkprogrammu un Kibana.

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

Tādējādi iestatījumi ir pabeigti un piekļuve datiem Elasticsearch klasterī ir šifrēta.

Ja jums ir jautājumi par Elastic Stack iespējām attiecībā uz bezmaksas vai maksas abonementiem, uzraudzības uzdevumiem vai SIEM sistēmas izveidi, atstājiet pieprasījumu atsauksmju veidlapa mūsu mājas lapā.

Vairāk mūsu rakstu par Elastic Stack on Habré:

Izpratne par mašīnmācīšanos elastīgajā kaudzē (pazīstams arī kā Elasticsearch, arī ELK)

Elasticsearch izmēru noteikšana

Avots: www.habr.com