All Products
Search

This Product

    Elasticsearch:Keamanan tinggi

    Document Center

    Elasticsearch:Keamanan tinggi

    Last Updated:Jun 24, 2026

    Kluster Alibaba Cloud Elasticsearch ditempatkan di virtual private cloud (VPC) yang terisolasi secara logis. Selain itu, kluster tersebut memanfaatkan kontrol akses, autentikasi dan otorisasi, enkripsi, serta fitur keamanan lanjutan dari X-Pack. Kombinasi fitur-fitur ini menjamin keamanan tinggi kluster Alibaba Cloud Elasticsearch. Topik ini menjelaskan fitur-fitur tersebut.

    Informasi latar belakang

    Perangkat lunak open source sering menjadi sasaran utama serangan. Serangan ransomware terhadap MongoDB merupakan salah satu contohnya. Elasticsearch juga telah menjadi target serangan. Penyerang dapat menyerang kluster Elasticsearch yang dikelola sendiri tanpa perlindungan keamanan profesional, menghapus data penting, atau mengganggu sistem bisnis.

    Alibaba Cloud Security Center merilis peringatan mengenai risiko keamanan yang terkait dengan Elasticsearch dan menyediakan berbagai strategi serta solusi penguatan keamanan. Alibaba Cloud Elasticsearch menawarkan solusi yang lebih andal dan profesional untuk keamanan data dan layanan dibandingkan dengan Elasticsearch open source.

    Fitur keamanan

    Sejak diluncurkan sebagai layanan fully managed pada November 2017, Alibaba Cloud Elasticsearch telah menerapkan berbagai langkah keamanan untuk mengurangi potensi risiko kluster.

    Tabel berikut membandingkan perlindungan keamanan kluster Alibaba Cloud Elasticsearch dengan kluster Elasticsearch yang dikelola sendiri.

    Aspek keamanan

    Kemampuan default

    Konfigurasi pengelolaan mandiri

    Kontrol akses

    • Kluster ditempatkan di VPC untuk isolasi jaringan pada lapisan tautan data.

    • Baik Elasticsearch maupun Kibana mendukung daftar putih alamat IP, yang dapat mencakup alamat IP tunggal, rentang alamat IP, dan alamat IPv6. Secara default, titik akhir publik menolak akses dari semua alamat IP. Anda harus mengonfigurasi daftar putih alamat IP untuk titik akhir publik sebelum dapat mengaksesnya. Untuk informasi selengkapnya, lihat Konfigurasikan daftar putih alamat IP publik atau privat untuk instans.

    • Pengguna tidak dapat login ke server yang menghosting node kluster.

    • Hanya Port 9200 dan 9300 yang terbuka pada titik akhir publik dan internal.

    • Gunakan produk keamanan cloud seperti grup keamanan dan Cloud Firewall untuk mengontrol dan mengisolasi alamat IP inbound.

    • Hindari mengekspos Port 9200 ke internet.

    • Ikatkan ke alamat IP sumber tertentu.

    • Ubah port default.

    Autentikasi dan otorisasi

    • Menyediakan kebijakan akses tingkat kluster melalui Resource Access Management (RAM), seperti ReadOnlyAccess dan FullAccess.

    • Menyediakan kontrol izin detail halus melalui RAM untuk resource seperti instans dan akun, serta untuk operasi seperti GET, POST, dan PUT.

    • Menyediakan kontrol akses berbasis peran (RBAC) dengan keamanan tingkat bidang menggunakan plugin keamanan X-Pack.

    • Mendukung Single Sign-On (SSO) melalui Active Directory, LDAP, atau native Elasticsearch realms menggunakan plugin keamanan X-Pack.

    Instal plugin keamanan pihak ketiga seperti Search Guard atau Shield.

    Enkripsi

    • Mendukung protokol HTTPS untuk akses.

    • Mendukung enkripsi saat diam (encryption at rest) menggunakan Key Management Service (KMS).

    • Menyediakan enkripsi SSL/TLS untuk data dalam transit antar node menggunakan plugin keamanan X-Pack.

    • Gunakan media penyimpanan yang mendukung enkripsi saat diam.

    • Nonaktifkan akses HTTP dalam file konfigurasi YML.

    Pemantauan dan audit

    • Menyediakan log audit untuk operasi menggunakan plugin keamanan X-Pack.

    • Memantau metrik komprehensif seperti beban kluster menggunakan CloudMonitor.

    • Beli lisensi Elastic komersial (tingkat Platinum atau Enterprise) untuk mengaktifkan fitur log audit plugin keamanan X-Pack.

    • Gunakan alat pihak ketiga seperti Filebeat dan Fluentd untuk memantau status kluster.

    Pemulihan bencana

    • Menyediakan snapshot terjadwal untuk cadangan data.

    • Menyediakan ketersediaan tinggi untuk satu kluster di beberapa zona dalam wilayah yang sama.

    • Beli sistem file untuk pencadangan reguler.

    • Pertahankan beberapa kluster untuk pemulihan bencana.

    Kontrol akses

    Alibaba Cloud Elasticsearch menggunakan metode berikut untuk mengontrol akses:

    • Akses VPC

      Anda dapat mengakses instans Alibaba Cloud Elasticsearch di VPC melalui titik akhir internalnya. Jika aplikasi Anda memerlukan lingkungan akses yang sangat aman, Anda dapat membeli instans ECS di wilayah, zona, dan VPC yang sama dengan instans Alibaba Cloud Elasticsearch Anda. Deploy aplikasi Anda pada instans ECS tersebut, lalu akses instans Elasticsearch darinya menggunakan titik akhir internal.

      Catatan

      VPC adalah jaringan pribadi di cloud yang terisolasi dari internet publik, sehingga menyediakan lingkungan akses yang lebih aman.

    • Kontrol akses berbasis daftar putih

      Titik akhir internal mendukung konfigurasi daftar putih sistem. Hanya perangkat yang alamat IP-nya ada dalam daftar putih internal yang dapat mengakses instans. Untuk informasi selengkapnya, lihat Konfigurasikan daftar putih publik atau internal untuk instans.

      Titik akhir publik mendukung konfigurasi daftar izin (allowlist) untuk akses publik. Hanya perangkat dengan alamat IP yang termasuk dalam daftar izin publik yang dapat mengakses instans. Untuk informasi selengkapnya, lihat Konfigurasikan daftar izin publik atau privat untuk instans.

    Autentikasi dan otorisasi

    • Kontrol akses berbasis RAM

      Kebijakan Resource Access Management (RAM) didukung untuk menerapkan isolasi resource antar akun RAM. Setiap akun hanya dapat melihat dan mengelola instans Elasticsearch miliknya sendiri. Untuk informasi selengkapnya, lihat Proses evaluasi kebijakan izin.

    • Kontrol akses berbasis peran (RBAC) dengan X-Pack

      Plugin komersial X-Pack tersedia. X-Pack adalah paket ekstensi komersial untuk Elasticsearch yang menggabungkan fitur keamanan, peringatan, pemantauan, grafik, dan pelaporan ke dalam satu paket yang mudah diinstal. X-Pack terintegrasi dengan Kibana dan menyediakan kemampuan seperti autentikasi, kontrol akses berbasis peran, pemantauan waktu nyata, pelaporan visual, dan pembelajaran mesin. Anda dapat menggunakan fitur kontrol akses berbasis peran X-Pack untuk menerapkan kontrol akses tingkat indeks. Untuk informasi selengkapnya, lihat Kelola izin pengguna menggunakan peran X-Pack Elasticsearch dan Security API resmi.