Elastic Stackのセキュリティ

Elastic Stackは多くの動く部分で構成されています。クラスターを形成するElasticsearchノードに加えて、Logstashインスタンス、Kibanaインスタンス、Beatsエージェント、クライアントがすべてクラスターと通信しています。クラスターを安全に保つために、Elasticsearchのセキュリティ原則に従ってください。

最初の原則は、セキュリティを有効にしてElasticsearchを実行することです。セキュリティの設定は複雑になる可能性があるため、セキュリティを有効にして設定されたElastic Stackを開始するのが簡単です。新しいクラスターの場合は、Elasticsearchを起動するだけで、自動的にパスワード保護が有効になり、トランスポート層セキュリティ(TLS)でノード間通信が保護され、ElasticsearchとKibana間の接続が暗号化されます。

既存のセキュリティがないクラスターがある場合(または自分でセキュリティを管理したい場合)、手動でセキュリティを有効にして設定することで、Elasticsearchクラスターとクラスターと通信するクライアントを保護できます。また、ロールベースのアクセス制御、IPフィルタリング、監査などの追加のセキュリティ対策を実施することもできます。

セキュリティを有効にすることで、Elasticsearchクラスターを保護します:

連邦情報処理標準(FIPS)140-2が有効なJVMでElasticsearchを実行する予定がある場合は、FIPS 140-2を参照してください。

不正アクセスの防止

Elasticsearchクラスターへの不正アクセスを防ぐためには、ユーザーが自分が主張する人物であることを確認するための認証方法が必要です。たとえば、Kelsey Andorraという名前の人物だけがユーザーkandorraとしてサインインできるようにすることです。Elasticsearchのセキュリティ機能は、クラスターを迅速にパスワード保護するための独立した認証メカニズムを提供します。

すでにLDAP、Active Directory、またはPKIを使用して組織内のユーザーを管理している場合、セキュリティ機能はそれらのシステムと統合してユーザー認証を実行します。

多くの場合、ユーザーを認証するだけでは不十分です。ユーザーがアクセスできるデータや実行できるタスクを制御する方法も必要です。Elasticsearchのセキュリティ機能を有効にすることで、ユーザーにアクセス権をロールに割り当て、そのロールをユーザーに割り当てることでユーザーを認可できます。このロールベースのアクセス制御メカニズム(RBAC)を使用すると、ユーザーkandorraeventsインデックスに対してのみ読み取り操作を実行できるように制限し、他のすべてのインデックスへのアクセスを制限できます。

セキュリティ機能は、IPフィルタに基づいてクラスターに接続できるノードとクライアントを制限することもできます。特定のIPアドレス、サブネット、またはDNSドメインをブロックおよび許可して、クラスターへのネットワークレベルのアクセスを制御できます。

ユーザー認証およびユーザー認可を参照してください。

データの整合性と機密性の保持

セキュリティの重要な部分は、機密データを安全に保つことです。Elasticsearchには、偶発的なデータ損失や破損に対する組み込みの保護があります。しかし、故意の改ざんやデータの傍受を防ぐものはありません。Elastic Stackのセキュリティ機能は、TLSを使用してデータの整合性を改ざんから保護し、クラスター内およびクラスター間の通信を暗号化することで機密性を提供します。さらに大きな保護を求める場合は、暗号化の強度を高めることができます。

Elastic Stackのセキュリティを設定するを参照してください。

監査証跡の維持

システムを安全に保つには、警戒が必要です。Elastic Stackのセキュリティ機能を使用して監査証跡を維持することで、クラスターにアクセスしている人とその行動を簡単に確認できます。監査レベルを設定でき、ログに記録されるイベントの種類を考慮します。これらのイベントには、認証の失敗、ユーザーアクセスの拒否、ノード接続の拒否などが含まれます。アクセスパターンやクラスターへのアクセスの失敗を分析することで、攻撃やデータ侵害の試みについての洞察を得ることができます。クラスター内の活動の監査可能なログを保持することは、運用上の問題を診断するのにも役立ちます。

監査ログを有効にするを参照してください。