लवचिक स्टॅक हे SIEM सिस्टीम मार्केटमधील एक सुप्रसिद्ध साधन आहे (वास्तविक, केवळ तेच नाही). हे संवेदनशील आणि अतिसंवेदनशील नसूनही विविध आकाराचा डेटा गोळा करू शकते. लवचिक स्टॅक घटकांमध्ये प्रवेश स्वतः संरक्षित नसल्यास ते पूर्णपणे योग्य नाही. डीफॉल्टनुसार, सर्व लवचिक आउट-ऑफ-द-बॉक्स घटक (इलॅस्टिकसर्च, लॉगस्टॅश, किबाना आणि बीट्स कलेक्टर्स) खुल्या प्रोटोकॉलवर चालतात. आणि किबानामध्येच, प्रमाणीकरण अक्षम केले आहे. हे सर्व परस्परसंवाद सुरक्षित केले जाऊ शकतात आणि या लेखात आम्ही हे कसे करायचे ते सांगू. सोयीसाठी, आम्ही कथन 3 सिमेंटिक ब्लॉक्समध्ये विभागले:

• भूमिका-आधारित डेटा ऍक्सेस मॉडेल
• Elasticsearch क्लस्टरमध्ये डेटा सुरक्षा
• Elasticsearch क्लस्टरच्या बाहेर डेटा सुरक्षित करणे

कट अंतर्गत तपशील.

भूमिका-आधारित डेटा ऍक्सेस मॉडेल

जर तुम्ही Elasticsearch इन्स्टॉल केले आणि ते कोणत्याही प्रकारे ट्यून केले नाही तर, सर्व अनुक्रमणिकेचा प्रवेश प्रत्येकासाठी खुला असेल. विहीर, किंवा जे कर्ल वापरू शकतात. हे टाळण्यासाठी, Elasticsearch चे एक रोल मॉडेल आहे जे बेसिक सबस्क्रिप्शनपासून (जे मोफत आहे) उपलब्ध आहे. योजनाबद्धरित्या हे असे काहीतरी दिसते:

चित्रात काय आहे

• वापरकर्ते हे प्रत्येकजण आहेत जे त्यांचे क्रेडेन्शियल्स वापरून लॉग इन करू शकतात.
• भूमिका म्हणजे हक्कांचा संच.
• अधिकार हा विशेषाधिकारांचा संच आहे.
• विशेषाधिकार म्हणजे लिहिणे, वाचणे, हटवणे इ. (विशेषाधिकारांची संपूर्ण यादी)
• संसाधने ही अनुक्रमणिका, दस्तऐवज, फील्ड, वापरकर्ते आणि इतर स्टोरेज घटक आहेत (काही स्त्रोतांसाठी रोल मॉडेल केवळ सशुल्क सदस्यतेसह उपलब्ध आहे).

डीफॉल्टनुसार Elasticsearch आहे बॉक्स वापरकर्ते, ज्यात ते संलग्न आहेत बॉक्स भूमिका. एकदा तुम्ही सुरक्षा सेटिंग्ज सक्षम केल्यावर, तुम्ही त्यांचा वापर ताबडतोब सुरू करू शकता.

Elasticsearch सेटिंग्जमध्ये सुरक्षा सक्षम करण्यासाठी, तुम्हाला ते कॉन्फिगरेशन फाइलमध्ये जोडण्याची आवश्यकता आहे (डीफॉल्टनुसार हे आहे elasticsearch/config/elasticsearch.yml) नवीन ओळ:

xpack.security.enabled: true

कॉन्फिगरेशन फाइल बदलल्यानंतर, बदल प्रभावी होण्यासाठी Elasticsearch लाँच करा किंवा रीस्टार्ट करा. पुढील पायरी म्हणजे बॉक्स वापरकर्त्यांना पासवर्ड नियुक्त करणे. खालील कमांड वापरून हे परस्परसंवादीपणे करूया:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-setup-passwords interactive
Initiating the setup of passwords for reserved users elastic,apm_system,kibana,logstash_system,beats_system,remote_monitoring_user.
You will be prompted to enter passwords as the process progresses.
Please confirm that you would like to continue [y/N]y


Enter password for [elastic]:
Reenter password for [elastic]:
Enter password for [apm_system]:
Reenter password for [apm_system]:
Enter password for [kibana]:
Reenter password for [kibana]:
Enter password for [logstash_system]:
Reenter password for [logstash_system]:
Enter password for [beats_system]:
Reenter password for [beats_system]:
Enter password for [remote_monitoring_user]:
Reenter password for [remote_monitoring_user]:
Changed password for user [apm_system]
Changed password for user [kibana]
Changed password for user [logstash_system]
Changed password for user [beats_system]
Changed password for user [remote_monitoring_user]
Changed password for user [elastic]

आम्ही तपासतो:

[elastic@node1 ~]$ curl -u elastic 'node1:9200/_cat/nodes?pretty'
Enter host password for user 'elastic':
192.168.0.2 23 46 14 0.28 0.32 0.18 dim * node1

आपण स्वत: ला पाठीवर थाप देऊ शकता - Elasticsearch बाजूला सेटिंग्ज पूर्ण झाल्या आहेत. आता किबाना कॉन्फिगर करण्याची वेळ आली आहे. आपण ते आता चालविल्यास, त्रुटी दिसून येतील, म्हणून की स्टोअर तयार करणे महत्वाचे आहे. हे दोन कमांड्समध्ये केले जाते (वापरकर्ता किबाना आणि इलास्टिकसर्च मधील पासवर्ड तयार करण्याच्या चरणावर प्रविष्ट केलेला पासवर्ड):

[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.username
[elastic@node1 ~]$ ./kibana/bin/kibana-keystore add elasticsearch.password

सर्वकाही बरोबर असल्यास, किबाना लॉगिन आणि पासवर्ड विचारण्यास प्रारंभ करेल. मूळ सदस्यत्वामध्ये अंतर्गत वापरकर्त्यांवर आधारित रोल मॉडेल समाविष्ट आहे. गोल्डपासून सुरुवात करून, तुम्ही बाह्य प्रमाणीकरण प्रणाली - LDAP, PKI, सक्रिय निर्देशिका आणि सिंगल साइन-ऑन सिस्टम कनेक्ट करू शकता.

Elasticsearch मधील वस्तूंवरील प्रवेश अधिकार देखील मर्यादित असू शकतात. तथापि, दस्तऐवज किंवा फील्डसाठी असेच करण्यासाठी, तुम्हाला सशुल्क सदस्यता आवश्यक असेल (ही लक्झरी प्लॅटिनम पातळीपासून सुरू होते). या सेटिंग्ज किबाना इंटरफेसमध्ये किंवा द्वारे उपलब्ध आहेत सुरक्षा API. तुम्ही आधीच परिचित देव टूल्स मेनूद्वारे तपासू शकता:

भूमिका निर्माण करणे

PUT /_security/role/ruslan_i_ludmila_role
{
  "cluster": [],
  "indices": [
    {
      "names": [ "ruslan_i_ludmila" ],
      "privileges": ["read", "view_index_metadata"]
    }
  ]
}

वापरकर्ता तयार करणे

POST /_security/user/pushkin
{
  "password" : "nataliaonelove",
  "roles" : [ "ruslan_i_ludmila_role", "kibana_user" ],
  "full_name" : "Alexander Pushkin",
  "email" : "[email protected]",
  "metadata" : {
    "hometown" : "Saint-Petersburg"
  }
}

Elasticsearch क्लस्टरमध्ये डेटा सुरक्षा

जेव्हा इलास्टिकसर्च क्लस्टरमध्ये चालते (जे सामान्य आहे), तेव्हा क्लस्टरमधील सुरक्षा सेटिंग्ज महत्त्वपूर्ण होतात. नोड्समधील सुरक्षित संवादासाठी, Elasticsearch TLS प्रोटोकॉल वापरते. त्यांच्यामध्ये सुरक्षित संवाद सेट करण्यासाठी, तुम्हाला प्रमाणपत्राची आवश्यकता आहे. आम्ही PEM स्वरूपात प्रमाणपत्र आणि खाजगी की व्युत्पन्न करतो:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil ca --pem

वरील आदेश कार्यान्वित केल्यानंतर, निर्देशिकेत /../elasticsearch संग्रहण दिसेल elastic-stack-ca.zip. त्याच्या आत तुम्हाला एक प्रमाणपत्र आणि विस्तारांसह खाजगी की मिळेल crt и की अनुक्रमे त्यांना सामायिक संसाधनावर ठेवण्याचा सल्ला दिला जातो, जो क्लस्टरमधील सर्व नोड्समधून प्रवेशयोग्य असावा.

प्रत्येक नोडला आता स्वतःची प्रमाणपत्रे आणि सामायिक निर्देशिकेतील खाजगी की आवश्यक आहेत. कमांड कार्यान्वित करताना, तुम्हाला पासवर्ड सेट करण्यास सांगितले जाईल. परस्परसंवादी नोड्सच्या पूर्ण पडताळणीसाठी तुम्ही अतिरिक्त पर्याय -ip आणि -dns जोडू शकता.

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key

कमांड कार्यान्वित केल्यामुळे, आम्हाला पासवर्डद्वारे संरक्षित PKCS#12 फॉरमॅटमध्ये प्रमाणपत्र आणि खाजगी की प्राप्त होईल. फक्त व्युत्पन्न केलेली फाईल हलवणे बाकी आहे p12 कॉन्फिगरेशन निर्देशिकेत:

[elastic@node1 ~]$ mv elasticsearch/elastic-certificates.p12 elasticsearch/config

फॉर्मेटमध्ये प्रमाणपत्रामध्ये पासवर्ड जोडा p12 प्रत्येक नोडवर कीस्टोअर आणि ट्रस्टस्टोअरमध्ये:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

आधीच माहीत आहे elasticsearch.yml प्रमाणपत्र डेटासह ओळी जोडणे बाकी आहे:

xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: elastic-certificates.p12

आम्ही सर्व Elasticsearch नोड्स लाँच करतो आणि कार्यान्वित करतो केस कुरळे करणे. सर्वकाही योग्यरित्या केले असल्यास, अनेक नोड्ससह प्रतिसाद परत केला जाईल:

[elastic@node1 ~]$ curl node1:9200/_cat/nodes -u elastic:password                                                                                    
172.18.0.3 43 75 4 0.00 0.05 0.05 dim * node2                                                                                                                     
172.18.0.4 21 75 3 0.00 0.05 0.05 dim - node3                                                                                                                     
172.18.0.2 39 75 4 0.00 0.05 0.05 dim - node1

आणखी एक सुरक्षा पर्याय आहे - IP पत्ता फिल्टरिंग (गोल्ड लेव्हलवरील सदस्यतांमध्ये उपलब्ध). तुम्हाला IP पत्त्यांची पांढरी सूची तयार करण्याची अनुमती देते ज्यावरून तुम्हाला नोड्समध्ये प्रवेश करण्याची परवानगी आहे.

Elasticsearch क्लस्टरच्या बाहेर डेटा सुरक्षित करणे

क्लस्टरच्या बाहेर म्हणजे बाह्य साधने कनेक्ट करणे: किबाना, लॉगस्टॅश, बीट्स किंवा इतर बाह्य क्लायंट.

https साठी समर्थन कॉन्फिगर करण्यासाठी (http ऐवजी), elasticsearch.yml वर नवीन ओळी जोडा:

xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.keystore.path: elastic-certificates.p12
xpack.security.http.ssl.truststore.path: elastic-certificates.p12

कारण प्रमाणपत्र पासवर्ड संरक्षित आहे, ते प्रत्येक नोडवरील कीस्टोअर आणि ट्रस्टस्टोअरमध्ये जोडा:

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password

की जोडल्यानंतर, Elasticsearch नोड्स https द्वारे कनेक्ट करण्यासाठी तयार आहेत. आता ते लॉन्च केले जाऊ शकतात.

पुढील पायरी म्हणजे किबाना कनेक्ट करण्यासाठी एक की तयार करणे आणि ती कॉन्फिगरेशनमध्ये जोडणे. सामायिक निर्देशिकेत आधीपासून असलेल्या प्रमाणपत्रावर आधारित, आम्ही PEM स्वरूपात प्रमाणपत्र तयार करू (PKCS#12 Kibana, Logstash आणि Beats अद्याप समर्थन देत नाहीत):

[elastic@node1 ~]$ ./elasticsearch/bin/elasticsearch-certutil cert --ca-cert /shared_folder/ca/ca.crt --ca-key /shared_folder/ca/ca.key --pem

किबाना कॉन्फिगरेशनसह फोल्डरमध्ये तयार केलेल्या की अनपॅक करणे बाकी आहे:

[elastic@node1 ~]$ unzip elasticsearch/certificate-bundle.zip -d kibana/config

की तेथे आहेत, त्यामुळे फक्त किबाना कॉन्फिगरेशन बदलणे बाकी आहे जेणेकरून ते वापरण्यास सुरुवात करेल. kibana.yml कॉन्फिगरेशन फाइलमध्ये, HTTP ला https मध्ये बदला आणि SSL कनेक्शन सेटिंग्जसह ओळी जोडा. शेवटच्या तीन ओळी वापरकर्त्याच्या ब्राउझर आणि किबाना दरम्यान सुरक्षित संप्रेषण कॉन्फिगर करतात.

elasticsearch.hosts: ["https://${HOSTNAME}:9200"]
elasticsearch.ssl.certificateAuthorities: /shared_folder/ca/ca.crt
elasticsearch.ssl.verificationMode: certificate
server.ssl.enabled: true
server.ssl.key: /../kibana/config/instance/instance.key
server.ssl.certificate: /../kibana/config/instance/instance.crt

अशा प्रकारे, सेटिंग्ज पूर्ण झाल्या आहेत आणि Elasticsearch क्लस्टरमधील डेटामध्ये प्रवेश एन्क्रिप्ट केला आहे.

जर तुम्हाला विनामूल्य किंवा सशुल्क सदस्यतांवरील लवचिक स्टॅकच्या क्षमतांबद्दल प्रश्न असल्यास, कार्यांचे निरीक्षण करा किंवा SIEM सिस्टम तयार करा, त्यांना विनंती करा अभिप्राय फॉर्म आमच्या वेबसाइटवर.

हॅब्रेवरील लवचिक स्टॅकबद्दल आमचे अधिक लेख:

लवचिक स्टॅकमध्ये मशीन लर्निंग समजून घेणे (उर्फ इलास्टिकसर्च, उर्फ ​​ईएलके)

लवचिक शोध आकार

स्त्रोत: www.habr.com