Ihre Such- und Protokollanalytikdaten mit Amazon OpenSearch Service prüfen und sichern

Erfüllen Sie Ihre Sicherheitsstandards für Authentifizierung, Autorisierung, Verschlüsselung, Prüfung und die Einhaltung von Vorschriften und halten Sie sie dauerhaft ein.

Analytiklösungen, die auf großen Datenmengen basieren, sind besonders anfällig für Sicherheitsrisiken und Sicherheitsverletzungen. Sie benötigen eine robuste Sicherheits- und Compliance-Lösung mit diesen Funktionen:

  • Sicheres Hosten sensibler Workloads
  • Schützen von und Begrenzen des Zugangs zu vertraulichen Daten
  • Integrieren mit externen Identitätsanbietern
  • Verschlüsseln von Daten im Ruhezustand und bei deren Übertragung
  • Überprüfen von Benutzeraktivitäten und Konfigurationsaktualisierungen
  • Konfigurieren des programmatischen Zugriffs für Ihre benutzerdefinierten Anwendungen und andere AWS-Services

Wichtige Sicherheitsfunktionen von OpenSearch

Bieten Sie Ihren Benutzern einen sicheren Zugang mit Authentifizierungs- und Autorisierungsmethoden Ihrer Wahl, einschließlich nativer SAML-Unterstützung, AWS Cognito, AWS IAM und mehr. Weitere Informationen finden Sie unter Verwendung von SAML mit Dashboards und Identitäts- und Zugriffsmanagement.

Schützen Sie Ihre Daten vor Angreifern, indem Sie die Verschlüsselung der Daten auf der Festplatte, der Protokolldateien und der automatischen Snapshots mit militärtauglichen AES-256-Schlüsseln von AWS Key Management Service (KMS) aktivieren. Verschlüsseln Sie Daten bei der Übertragung zwischen Knoten mit TLS 1.2.

Verwenden Sie eine oder mehrere Zugriffskontrollfunktionen wie AWS-IAM-Richtlinien oder eine fein abgestufte Zugriffskontrolle, um Benutzern eine kontrollierte und vorhersehbare Möglichkeit zur Abfrage von Geschäftsdaten und zur Überwachung der Clusterkonfiguration zu bieten.

Sichern Sie den Zugang zu Ihrer Domäne, indem Sie AWS-Identitäts- und Ressourcenrichtlinien verwenden, um Identitäten und Ressourcen mit bestimmten erlaubten/verbotenen Aktionen zu verknüpfen. Erstellen Sie logisch isolierte Netzwerke mit einer Amazon Virtual Private Cloud (VPC) und Amazon-VPC-Sicherheitsgruppen, um den Datenverkehr nur von bekannten Unternehmen zuzulassen.

Überwachen Sie Konfigurationsänderungen an Ihrer Domäne, verfolgen Sie Benutzeraktivitäten und prüfen Sie Datenanfragen – einschließlich detaillierter Verbindungsattribute. Verwenden Sie die AWS-CloudTrail-Protokollierung und die OpenSearch-Prüfungsprotokolle, um die Nutzung von Konfigurations-APIs und Anfragen an Ihre Daten zu überwachen.

Schützen Sie Ihre Daten vor Sicherheitslücken. Um die Notwendigkeit von Versions-Upgrades zu minimieren, bietet OpenSearch Service rückwärtskompatible Sicherheits-Patches und Upgrades für alle unterstützten Versionen von OpenSearch und Elasticsearch.

Schützen Sie den Zugriff auf Ihre sensiblen oder vertraulichen Daten mit fortschrittlichen Sicherheitskontrollen. Verwenden Sie die Sicherheit auf Index-, Dokument- oder Feldebene, um den Zugriff auf bestimmte Indizes, Dokumente oder Felder zu beschränken.

Kommunizieren Sie sicher mit Ihrer OpenSearch-Domäne über Sigv4-signierte Anfragen, die über AWS-SDKs oder die AWS-Befehlszeilenschnittstelle (CLI) gesendet werden.

Erfüllen Sie die strengen Compliance- und Governance-Anforderungen Ihres Unternehmens. Amazon OpenSearch Service ist Teil mehrerer Industriestandard-Compliance-Programme wie HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO und CSA STAR, FIPS 140-2.

Sammeln Sie Protokolle aus verschiedenen Quellen mit unterschiedlichen Formaten, normalisieren und vergleichen Sie Sicherheitsprotokolldaten.

Häufig gestellte Fragen zur Sicherheit

Der Amazon OpenSearch Service bietet mehrere Sicherheitsfunktionen und ist HIPAA-fähig und entspricht den PCI DSS-, SOC-, ISO- und FedRamp-Standards, sodass Sie Ihre Sicherheits- und Compliance-Anforderungen erfüllen können. Der Zugriff auf die Amazon OpenSearch Service-Management-APIs für Vorgänge wie das Erstellen und Skalieren von Domains wird durch die Richtlinien von AWS Identity and Access Management (IAM) gesteuert.

Amazon OpenSearch Service-Domains können so konfiguriert werden, dass sie über einen Endpunkt innerhalb Ihrer VPC oder über einen öffentlichen Endpunkt zugänglich sind, auf den das Internet zugegriffen werden kann. Der Netzwerkzugriff für VPC-Endpunkte wird mit Sicherheitsgruppen gesteuert, und für öffentliche Endpunkte kann der Zugriff über die IP-Adresse gewährt oder eingeschränkt werden.

Neben der netzwerkbasierten Zugriffskontrolle bietet Amazon OpenSearch Service eine Benutzerauthentifizierung über IAM und eine Standardauthentifizierung mit Benutzername und Passwort. Die Autorisierung kann sowohl auf Domänenebene (über Domänenzugriffsrichtlinien) als auch auf Index-, Dokument- und Feldebene (über die differenzierte Zugriffssteuerungsfunktion von OpenSearch) erteilt werden. Darüber hinaus erweitert die feinkörnige Zugriffskontrolle OpenSearch-Dashboards und Kibana mit schreibgeschützten Ansichten und sicherer Unterstützung für mehrere Mandanten.

Amazon OpenSearch Service unterstützt auch eine Integration mit Amazon Cognito, damit sich Ihre Endbenutzer über Enterprise Identity Provider wie Microsoft Active Directory mit SAML 2.0, Amazon Cognito User Pools und mehr bei OpenSearch-Dashboards und Kibana anmelden können. Sobald Sie sich angemeldet haben, richtet Amazon Cognito eine Sitzung mit dem entsprechenden IAM-Prinzipal ein, das den Zugriff auf die Amazon-OpenSearch-Service-Domäne ermöglicht. Diese IAM-Principals können dann mit der detaillierten, von OpenSearch unterstützten Zugriffssteuerungsfunktion verwendet werden.

Die Sicherheit von Amazon OpenSearch Service besteht aus drei Hauptschichten: Netzwerk, Domänenzugriffsrichtlinien und differenzierte Zugriffssteuerung. Die erste Sicherheitsschicht ist das Netzwerk, das bestimmt, ob Anforderungen eine Domäne erreichen. Wir unterstützen den öffentlichen Zugriff über das Internet oder den VPC-Zugriff, der auf bestimmte Sicherheitsgruppen in Ihrer VPC beschränkt ist. Die Domänenzugriffsrichtlinie ist die zweite Sicherheitsschicht. Nachdem eine Anforderung einen Domänenendpunkt erreicht hat, erlaubt oder verweigert die Domänenzugriffsrichtlinie den Anforderungszugriff auf eine bestimmte URL. Die Domänenzugriffsrichtlinie akzeptiert oder lehnt Anforderungen an der Grenze der Domäne ab, bevor sie OpenSearch/Elasticsearch selbst erreichen. Die dritte und letzte Sicherheitsschicht ist die fein abgestimmte Zugriffskontrolle. Nachdem eine Domänenzugriffsrichtlinie es einer Anforderung ermöglicht, einen Domänenendpunkt zu erreichen, wertet eine differenzierte Zugriffssteuerung die Benutzeranmeldeinformationen aus und authentifiziert den Benutzer entweder oder lehnt die Anforderung ab. Wenn eine detaillierte Zugriffskontrolle den Benutzer authentifiziert, ruft sie alle diesem Benutzer zugewiesenen Rollen ab und verwendet den vollständigen Satz von Berechtigungen, um zu bestimmen, auf welche Daten der Benutzer Zugriff hat.

Ja, Amazon OpenSearch Service unterstützt die Verschlüsselung in Ruhe über den AWS Key Management Service (KMS), die Knoten-zu-Knoten-Verschlüsselung über TLS und die Möglichkeit, von Clients die Kommunikation über HTTPS zu verlangen. Die Verschlüsselung im Ruhezustand verschlüsselt Shards, Protokolldateien, Auslagerungsdateien und automatisierte S3-Snapshots. Sie können AWS-verwaltete Schlüssel verwenden oder einen eigenen auswählen. Die Knoten-zu-Knoten-Verschlüsselung aktiviert TLS für die gesamte Kommunikation zwischen Knoten. Amazon OpenSearch Service stellt Zertifikate automatisch während der gesamten Lebensdauer der Domäne bereit und dreht sie. Wenn Sie von Ihren Clients eine Kommunikation über HTTPS verlangen, können Sie auch die minimale TLS-Version angeben.

Sobald der VPC-Zugriff aktiviert wurde, ist der Endpunkt für Amazon OpenSearch Service nur innerhalb der Kunden-VPC zugänglich. Um mit Ihrem Laptop von außerhalb der VPC auf OpenSearch Dashboards und Kibana zugreifen zu können, müssen Sie den Laptop über VPN oder VPC Direct Connect mit der VPC verbinden.