Elasticsearch セキュリティ概要：VPC 隔離、X-Pack とアクセス制御 - ES

Alibaba Cloud Elasticsearch クラスターは、論理的に分離された仮想プライベートクラウド (VPC) 内に展開され、ネットワーク分離、アクセスポリシー、本人確認、暗号化、モニタリング、ディザスタリカバリといった多層的なセキュリティ対策により保護されています。本トピックでは、Alibaba Cloud Elasticsearch に組み込まれたセキュリティ機能と、セルフマネージドクラスターでお客様が自ら管理するセキュリティ対策との比較について説明します。

セキュリティの仕組み

Alibaba Cloud Elasticsearch のセキュリティは、3 つのレイヤーにわたり動作し、それぞれ異なる段階で脅威を検知・遮断します。

ネットワークレイヤー — VPC 分離および IP ホワイトリストにより、クラスターエンドポイントへの不正なトラフィックの到達を防止します。
アクセスポリシーレイヤー — Resource Access Management (RAM) ポリシーおよびポート制限により、認証済みのアイデンティティが実行可能な操作を制御します。
細かい制御レイヤー — X-Pack が提供するロールベースのアクセス制御 (RBAC) により、リクエストが上記 2 つのレイヤーを通過した後に、フィールドレベルおよびインデックスレベルの権限を適用します。

この多層モデルにより、Alibaba Cloud が管理するセキュリティ対策と、お客様が自ら設定する対策を明確に区別できます。

オープンソースソフトウェアは、攻撃の最初の標的となることが多く、MongoDB に対するランサムウェア攻撃がその一例です。Elasticsearch も同様に攻撃対象となっており、専門的なセキュリティ保護が施されていないセルフマネージド Elasticsearch クラスターに対して、攻撃者が重要データの削除や業務システムへの干渉を行う可能性があります。

セキュリティ機能

Alibaba Cloud Elasticsearch は、2017 年 11 月よりフルマネージドサービスとして提供されています。以下の表では、各セキュリティカテゴリにおける Alibaba Cloud Elasticsearch のデフォルト機能と、セルフマネージドクラスターで必要な手順を比較しています。

カテゴリ	Alibaba Cloud Elasticsearch	セルフマネージド Elasticsearch
アクセスの制御	クラスターは VPC 内に展開され、データリンク層で隔離されます。 Elasticsearch および Kibana の両方で IP アドレスホワイトリストをサポートしており、IPv4 アドレス、IPv6 アドレス、CIDR ブロックを指定できます。デフォルトでは、パブリックエンドポイントへはすべての IP アドレスからのアクセスが拒否され、明示的にホワイトリストに登録された IP アドレスのみがアクセス可能です。詳細については、「Elasticsearch クラスターのパブリックまたはプライベート IP アドレスホワイトリストの設定」をご参照ください。すべてのユーザーに対してノードサーバーへのログインが無効化されています。パブリックおよび内部エンドポイントへのアクセスには、ポート 9200 および 9300 のみが利用可能です。	セキュリティグループや Cloud Firewall などのセキュリティプロダクトを購入し、送信元 IP アドレスの管理およびフィルタリングを行います。必要でない限り、ポート 9200 を無効化します。送信元 IP アドレスをバインドします。デフォルトのポートを変更します。
認証および権限付与	クラスターレベルの RAM ポリシー（読み取り専用の ReadOnlyAccess および管理者向けの FullAccess）を提供します。 RAM を使用して、クラスター、アカウント、HTTP メソッド（GET、POST、PUT）に対するアクセスを制御します。 X-Pack 経由の RBAC により、個別のデータフィールド単位で権限を設定できます。 X-Pack 経由のシングルサインオン (SSO) をサポートし、Active Directory、LDAP、Elasticsearch ネイティブ Realm を利用できます。	Search Guard や Shield などのサードパーティ製セキュリティプラグインをインストールします。
暗号化	HTTPS をサポートします。 Key Management Service (KMS) を使用した保管時の暗号化を提供します。データ転送用の SSL/TLS（X-Pack を通じて統合されています）。	保管時の暗号化に対応したストレージメディアを使用します。 YML 構成ファイルで HTTP を無効化します。
モニタリングおよび監査	X-Pack を使用した操作ログの監査を提供します。 Cloud Monitor を使用したクラスターモニタリングを提供し、クラスターワークロードを含む複数のメトリックを監視できます。	サードパーティ製ツールを使用してログの監査およびサービスのモニタリングを行います。
ディザスタリカバリ	スケジュールに基づいたスナップショットの自動作成を提供します。同一都市内の複数ゾーンにクラスターを展開することで、ゾーンレベルのディザスタリカバリを実現できます。	スケジュールに基づいたデータバックアップのためにファイルシステムを購入します。ディザスタリカバリのために複数のクラスターを使用します。

アクセス制御

VPC を介したアクセス

VPC を使用して、クラスターの内部エンドポイント経由で Alibaba Cloud Elasticsearch にアクセスします。VPC はインターネットから隔離されたプライベートネットワークです。アプリケーションをクラスターに安全に接続するには、クラスターと同じゾーン、リージョン、および VPC 内に Elastic Compute Service (ECS) インスタンスを作成し、その ECS インスタンスから内部エンドポイントへ接続します。

ホワイトリストによるアクセス制御

内部エンドポイントおよびパブリックエンドポイントの両方で IP アドレスホワイトリストをサポートしています。ホワイトリストに登録された IP アドレスを持つクライアントのみが接続できます。IP アドレスホワイトリストは、Alibaba Cloud Elasticsearch コンソールでいずれかのエンドポイントに対して設定できます。詳細については、「Elasticsearch クラスターのパブリックまたはプライベート IP アドレスホワイトリストの設定」をご参照ください。

認証および権限付与

RAM を使用したアクセス制御

Alibaba Cloud Elasticsearch コンソールは RAM ユーザーをサポートしています。各 RAM ユーザーは、許可されたクラスターのみを表示および管理でき、チームおよびロール間でのリソースの隔離を確保します。RAM による権限評価の仕組みについては、「ポリシー評価プロセス」をご参照ください。

X-Pack を使用したロールベースのアクセス制御

X-Pack は、Alibaba Cloud Elasticsearch にバンドルされた商用プラグインです。Kibana に統合されており、セキュリティ、アラート機能、モニタリング、グラフ表示、レポート作成、およびロールベースのアクセス制御 (RBAC)、リアルタイムモニタリング、ビジュアルレポート、機械学習などの機能を追加します。RBAC の権限は、特定のインデックスに限定して設定できます。設定方法の詳細については、「Elasticsearch X-Pack が提供する RBAC メカニズムを用いたアクセス制御の実装」および「セキュリティ API リファレンス」をご参照ください。