私のブックマーク
ブックマークを追加
ブックマークを削除手動でセキュリティを構成する
セキュリティのニーズは、ローカルでラップトップ上で開発しているか、プロダクション環境でのすべての通信を保護しているかによって異なります。Elastic Stack(”ELK”)をどこにデプロイしても、データを保護するために安全なクラスターを運用することは非常に重要です。だからこそ、Elasticsearch 8.0以降では、セキュリティがデフォルトで有効化および構成されています。
既存の未保護のクラスターでセキュリティを有効にしたい場合、独自の証明書機関(CA)を使用するか、手動でセキュリティを構成したい場合は、次のシナリオがトランスポート層でのTLS構成手順を提供し、必要に応じてHTTPSトラフィックを保護します。
Elasticsearchノードを起動する前に手動でセキュリティを構成すると、自動構成プロセスはあなたのセキュリティ構成を尊重します。ノード証明書を更新するなど、TLS構成をいつでも調整できます。
最小限のセキュリティ(Elasticsearch開発)
Elasticsearchを使用していて、既存の未保護のクラスターでセキュリティを有効にしたい場合は、ここから始めてください。ローカルクラスターへの不正アクセスを防ぐために、組み込みユーザーのパスワードを設定し、Kibanaのパスワード認証も構成します。
最小限のセキュリティシナリオは、プロダクションモードのクラスターには不十分です。クラスターに複数のノードがある場合は、最小限のセキュリティを有効にし、ノード間でトランスポート層セキュリティ(TLS)を構成する必要があります。
基本的なセキュリティ(Elasticsearch + Kibana)
このシナリオでは、ノード間の通信のためにTLSを構成します。このセキュリティ層では、ノードがセキュリティ証明書を検証する必要があり、不正なノードがElasticsearchクラスターに参加するのを防ぎます。
ElasticsearchとKibana間の外部HTTPトラフィックは暗号化されませんが、ノード間の通信は保護されます。
基本的なセキュリティに加えてHTTPSトラフィックを保護する(Elastic Stack)
このシナリオは基本的なセキュリティのシナリオを基にしており、すべてのHTTPトラフィックをTLSで保護します。ElasticsearchクラスターのトランスポートインターフェースでTLSを構成するだけでなく、ElasticsearchとKibanaの両方のHTTPインターフェースでもTLSを構成します。
HTTP層で相互(双方向)TLSが必要な場合は、相互認証暗号化を構成する必要があります。
次に、KibanaとBeatsをTLSを使用してElasticsearchと通信するように構成し、すべての通信が暗号化されるようにします。このセキュリティレベルは強力であり、クラスター内外のすべての通信が安全であることを保証します。
