高度なセキュリティ - Elasticsearch - Alibaba Cloud ドキュメントセンター

Alibaba Cloud Elasticsearchクラスターは、論理的に分離された仮想プライベートクラウド（VPC）にデプロイされます。さらに、アクセス制御、認証と承認、暗号化、およびX-Packが提供する高度なセキュリティ機能がクラスターに使用されます。上記のすべての機能により、Alibaba Cloud Elasticsearchクラスターの高度なセキュリティが保証されます。このトピックでは、これらの機能について説明します。

背景情報

オープンソースソフトウェアは、多くの場合、攻撃の最初の標的となります。 MongoDBランサムウェア攻撃はその一例です。 Elasticsearchも攻撃の標的となっています。攻撃者は、専門的なセキュリティ保護のないセルフマネージドElasticsearchクラスターを攻撃し、重要なデータを削除したり、ビジネスシステムを妨害したりする可能性があります。

Alibaba Cloudセキュリティセンターは、Elasticsearchに関連するセキュリティリスクについて警告を発し、一連のセキュリティ強化戦略とソリューションを提供しました。 Alibaba Cloud Elasticsearchは、オープンソースのElasticsearchよりもデータとサービスのセキュリティに関して、より信頼性が高く、専門的なソリューションを提供します。

セキュリティ機能

Alibaba Cloudは、2017年11月にフルマネージドElasticsearchサービスをリリースしました。 Alibaba Cloud Elasticsearchは、クラスターを保護するためのセキュリティ保護機能を提供します。

次の表は、Alibaba Cloud Elasticsearchクラスターのセキュリティ保護とセルフマネージドElasticsearchクラスターのセキュリティ保護を比較したものです。

カテゴリ	Alibaba Cloud Elasticsearchクラスターの組み込みセキュリティ機能	セルフマネージドElasticsearchクラスターのセキュリティ保護
アクセス制御	クラスターはVPCにデプロイされます。これにより、クラスターをデータリンク層で分離できます。 ElasticsearchとKibanaはどちらも、アクセス制御のためのホワイトリストをサポートしています。ホワイトリストには、IPv4アドレス、IPv6アドレス、およびクラスレスドメイン間ルーティング（CIDR）ブロックを指定できます。デフォルトでは、クラスターのパブリックエンドポイントへのアクセスはどのIPアドレスにも許可されていません。アクセス要求を許可するには、ホワイトリストを設定する必要があります。詳細については、「ElasticsearchクラスターのパブリックまたはプライベートIPアドレスホワイトリストを設定する」をご参照ください。ユーザーは、クラスターに含まれるノードサーバーにログオンすることはできません。ユーザーは、ポート 9200 と 9300 のみを使用して、クラスターのパブリックエンドポイントと内部エンドポイントにアクセスできます。	セキュリティグループやCloud Firewallなどのクラウドセキュリティ製品を購入して、送信元IPアドレスを管理および隔離します。使用する予定がない限り、ポート 9200 を無効にします。送信元IPアドレスをバインドします。デフォルトポートを変更します。
認証と承認	読み取り専用権限を付与するReadOnlyAccessポリシーや管理者権限を付与するFullAccessポリシーなど、Resource Access Management（RAM）のクラスターレベルの権限ポリシー。クラスター、アカウント、およびGET、POST、PUTコマンドに対する権限など、RAMベースのアクセス制御。 X-Packが提供するロールベースのアクセス制御（RBAC）。アクセス制御ポリシーは、データフィールドに固有のものにすることができます。 X-Packに基づくシングルサインオン（SSO）。 ID検証には、Active Directory、LDAP、およびElasticsearchネイティブのRealmがサポートされています。	Search GuardやShieldなどのサードパーティのセキュリティプラグインをインストールします。
暗号化	HTTPSがサポートされています。 Key Management Service（KMS）に基づいて保存時の暗号化が提供されます。 SSLまたはTLSを使用したデータ伝送暗号化をサポートするために、X-Packが統合されています。	保存時の暗号化をサポートするストレージメディアを使用します。 YML設定ファイルでHTTPを無効にします。
監視と監査	X-Packに基づく操作ログの監査。クラスターのワークロードなど、複数のメトリックを使用したCloudMonitorベースのクラスター監視。	サードパーティツールを使用して、ログを監査し、サービスを監視します。
障害復旧	スナップショットは、スケジュールされた時刻に自動的に作成されます。 1つの都市の複数のゾーンにクラスターをデプロイして、障害復旧を実装できます。	ファイルシステムを購入して、定期的にデータをバックアップします。複数のクラスターを使用して、障害復旧を実装します。

アクセス制御

Alibaba Cloud Elasticsearchは、次の方法を使用してアクセスを制御します。

VPC経由のアクセス
Alibaba Cloud Elasticsearchクラスターの内部エンドポイントを使用して、VPC経由でクラスターにアクセスできます。アプリケーションがAlibaba Cloud Elasticsearchクラスターにアクセスできる安全な環境が必要な場合は、Elasticsearchクラスターと同じゾーン、リージョン、およびVPCにAlibaba Cloud Elastic Compute Service（ECS）インスタンスを購入できます。次に、ECSインスタンスにアプリケーションをデプロイし、ECSインスタンスを使用してElasticsearchクラスターの内部エンドポイントにアクセスします。
説明 VPCはクラウド内のプライベートネットワークであり、インターネットから分離されています。アプリケーションへの安全なアクセスを提供します。
ホワイトリストベースのアクセス制御
Alibaba Cloud Elasticsearchクラスターの内部エンドポイントを使用してクラスターにアクセスする場合は、クラスターのホワイトリストを設定してアクセスを制御します。ホワイトリストにIPアドレスが登録されているクライアントのみが、クラスターへのアクセスに使用できます。詳細については、「ElasticsearchクラスターのパブリックまたはプライベートIPアドレスホワイトリストを設定する」をご参照ください。
Alibaba Cloud Elasticsearchクラスターのパブリックエンドポイントを使用してクラスターにアクセスする場合は、クラスターのホワイトリストを設定してアクセスを制御します。ホワイトリストにIPアドレスが登録されているクライアントのみが、クラスターへのアクセスに使用できます。詳細については、「ElasticsearchクラスターのパブリックまたはプライベートIPアドレスホワイトリストを設定する」をご参照ください。

認証と承認

RAMベースのアクセス制御
Alibaba Cloud Elasticsearchコンソールは、RAMユーザーをサポートしています。 RAMユーザーを使用してリソースを分離できます。 RAMユーザーは、権限を持つAlibaba Cloud Elasticsearchクラスターのみを表示および管理できます。詳細については、「ポリシーの評価プロセス」をご参照ください。
X-Packが提供するRBAC
Alibaba Cloud Elasticsearchは、Elasticsearchの商用拡張機能であるX-Packプラグインを提供しています。このプラグインは、セキュリティ、アラート、監視、グラフ作成、レポート作成機能を提供する、簡単にインストールできるバンドルです。このプラグインはKibanaに統合されており、認証と承認、RBAC、リアルタイム監視、ビジュアルレポート、機械学習などの機能を提供します。 RBACはインデックスに固有のものにすることができます。詳細については、「Elasticsearch X-Packが提供するRBACメカニズムを使用してアクセス制御を実装する」およびオープンソースのElasticsearchドキュメントのセキュリティAPI」をご参照ください。