All Products
Search

This Product

    Elasticsearch:Keamanan tingkat tinggi

    Document Center

    Elasticsearch:Keamanan tingkat tinggi

    Last Updated:Mar 26, 2026

    Kluster Alibaba Cloud Elasticsearch ditempatkan di virtual private cloud (VPC) yang terisolasi secara logis dan dilindungi oleh kontrol keamanan berlapis: isolasi jaringan, kebijakan akses, verifikasi identitas, enkripsi, pemantauan, dan pemulihan bencana. Topik ini menjelaskan fitur keamanan bawaan serta cara kerjanya dibandingkan dengan kluster yang Anda kelola sendiri.

    Cara kerja keamanan

    Keamanan di Alibaba Cloud Elasticsearch beroperasi pada tiga lapisan, masing-masing mencegat ancaman pada tahap yang berbeda:

    1. Lapisan jaringan — Isolasi VPC dan daftar putih IP mencegah lalu lintas tidak sah mencapai titik akhir kluster.

    2. Lapisan kebijakan akses — Kebijakan Resource Access Management (RAM) dan pembatasan port menentukan identitas terotentikasi mana yang dapat melakukan operasi tertentu.

    3. Lapisan kontrol granular — Kontrol akses berbasis peran (RBAC) yang disediakan oleh X-Pack memberlakukan izin pada level field dan indeks setelah permintaan melewati dua lapisan pertama.

    Model berlapis ini memungkinkan Anda mengidentifikasi secara tepat kontrol mana yang dikelola oleh Alibaba Cloud dan mana yang harus Anda konfigurasi sendiri.

    Perangkat lunak open source sering menjadi sasaran utama serangan. Serangan ransomware terhadap MongoDB adalah salah satu contohnya. Elasticsearch juga telah menjadi target serangan. Penyerang dapat menyerang kluster Elasticsearch yang dikelola sendiri tanpa perlindungan keamanan profesional, menghapus data penting, atau mengganggu sistem bisnis.

    Fitur keamanan

    Alibaba Cloud Elasticsearch telah menyediakan layanan fully managed sejak November 2017. Tabel berikut membandingkan fitur keamanan yang tersedia secara default dengan langkah-langkah yang diperlukan untuk kluster yang dikelola sendiri.

    Self-managed Elasticsearch
    Access control
    • Kluster ditempatkan di VPC dan diisolasi pada lapisan data link.
    • Elasticsearch dan Kibana mendukung daftar putih IP. Anda dapat menentukan alamat IPv4, alamat IPv6, dan blok CIDR. Secara default, tidak ada alamat IP yang dapat mengakses titik akhir publik—akses memerlukan entri eksplisit dalam daftar putih. Untuk detailnya, lihat Konfigurasikan daftar putih alamat IP publik atau pribadi untuk kluster Elasticsearch.
    • Login ke server node dinonaktifkan untuk semua pengguna.
    • Hanya port 9200 dan 9300 yang tersedia untuk akses melalui titik akhir publik dan internal.
    • Beli produk keamanan seperti security group atau Cloud Firewall untuk mengelola dan memfilter alamat IP sumber.
    • Nonaktifkan port 9200 kecuali diperlukan.
    • Ikat alamat IP sumber.
    • Ubah port default.
    Autentikasi dan otorisasi
    • Kebijakan RAM tingkat kluster, termasuk ReadOnlyAccess (read-only) dan FullAccess (administrator).
    • Kontrol berbasis RAM atas kluster, akun, dan metode HTTP (GET, POST, PUT).
    • RBAC melalui X-Pack, dengan izin yang dapat dikonfigurasi hingga level field data individual.
    • Single sign-on (SSO) melalui X-Pack, mendukung Active Directory, LDAP, dan Elasticsearch-native Realm.
    		Instal plugin keamanan pihak ketiga seperti Search Guard atau Shield.
    Enkripsi
    • HTTPS didukung.
    • Enkripsi saat diam (encryption at rest) melalui Key Management Service (KMS).
    • SSL/TLS untuk transmisi data, terintegrasi melalui X-Pack.
    • Gunakan media penyimpanan yang mendukung enkripsi saat diam.
    • Nonaktifkan HTTP dalam file konfigurasi YML.
    Pemantauan dan audit
    • Audit log operasi melalui X-Pack.
    • Pemantauan kluster berbasis Cloud Monitor dengan berbagai metrik, termasuk beban kerja kluster.
    		Gunakan alat pihak ketiga untuk mengaudit log dan memantau layanan.
    Pemulihan bencana
    • Snapshot dibuat secara otomatis sesuai jadwal.
    • Kluster dapat ditempatkan lintas zona dalam satu kota untuk pemulihan bencana tingkat zona.
    • Beli sistem file untuk backup data sesuai jadwal.
    • Gunakan beberapa kluster untuk pemulihan bencana.

    Access control

    Akses VPC

    Akses Alibaba Cloud Elasticsearch melalui VPC menggunakan titik akhir internal kluster. VPC adalah jaringan pribadi yang terisolasi dari Internet. Untuk menghubungkan aplikasi Anda ke kluster secara aman, buat instance Elastic Compute Service (ECS) di zona, wilayah, dan VPC yang sama dengan kluster tersebut, lalu hubungkan dari instance ECS tersebut ke titik akhir internal.

    Kontrol akses berbasis daftar putih

    Baik titik akhir internal maupun publik mendukung daftar putih IP. Hanya klien dengan alamat IP yang terdaftar dalam daftar putih yang dapat terhubung. Konfigurasikan daftar putih untuk salah satu titik akhir tersebut di Konsol Alibaba Cloud Elasticsearch. Untuk detailnya, lihat Konfigurasikan daftar putih alamat IP publik atau pribadi untuk kluster Elasticsearch.

    Autentikasi dan otorisasi

    Kontrol akses berbasis RAM

    Konsol Alibaba Cloud Elasticsearch mendukung RAM user. Setiap RAM user hanya dapat melihat dan mengelola kluster yang telah diberikan izin kepadanya, sehingga sumber daya tetap terisolasi antar tim dan peran. Untuk detail cara RAM mengevaluasi izin, lihat Proses evaluasi kebijakan.

    Kontrol akses berbasis peran melalui X-Pack

    X-Pack adalah plugin komersial yang sudah termasuk dalam Alibaba Cloud Elasticsearch. Terintegrasi ke dalam Kibana, plugin ini menambahkan kemampuan keamanan, peringatan, pemantauan, grafik, dan pelaporan, serta RBAC, pemantauan waktu nyata, pelaporan visual, dan pembelajaran mesin. Izin RBAC dapat dibatasi cakupannya hingga indeks tertentu. Untuk detail konfigurasi, lihat Gunakan mekanisme RBAC yang disediakan oleh Elasticsearch X-Pack untuk menerapkan access control dan Referensi Security API.