Controlla e proteggi l'analisi dei dati di registro e di ricerca con il servizio OpenSearch di Amazon

Soddisfa e mantieni i requisiti di sicurezza per l'autenticazione, l'autorizzazione, la crittografia, la verifica e la conformità normativa.

Le soluzioni di analisi create su una grande quantità di dati sono suscettibili in modo particolare ai rischi e alle violazioni relativi alla sicurezza. È necessaria una soluzione di sicurezza e conformità solida con le seguenti funzionalità:

  • Carichi di lavoro con hosting sicuro
  • Accesso protetto e limitato ai dati riservati
  • Integrazione con provider di identità di terze parti
  • Protezione dei dati archiviati e in transito
  • Controllo delle attività degli utenti e degli aggiornamenti delle configurazioni
  • Configurazione dell'accesso programmatico per le applicazioni personalizzate e altri servizi AWS

Page Topics

Funzionalità chiave per la sicurezza di OpenSearch

Funzionalità chiave per la sicurezza di OpenSearch

Offri un accesso sicuro agli utenti utilizzando metodi di autenticazione e autorizzazione di tua scelta, tra cui il supporto SAML nativo, AWS Cognito, AWS IAM e tanti altri. Per ulteriori informazioni, consulta Utilizzo di SAML con Dashboards e Identity and Access Management.

Proteggi i dati dagli attacchi abilitando la crittografia dei dati su disco, dei file di log e degli snapshot automatici utilizzando chiavi AWS Key Management Service (KMS) di grado militare AES-256. Crittografa i dati in transito tra i nodi utilizzando TLS 1.2.

Utilizza una o più funzionalità di controllo degli accessi, ad esempio le policy di AWS IAM o il controllo granulare degli accessi, per fornire agli utenti un modo controllato e prevedibile per eseguire le query sui dati aziendali e monitorare la configurazione dei cluster.

Proteggi il perimetro del dominio utilizzando l'identità AWS e le policy sulle risorse per associare identità e risorse alle azioni specifiche che consentono o negano gli accessi. Crea reti logicamente isolate utilizzando un cloud privato virtuale (VPC) di Amazon e gruppi di sicurezza Amazon VPC per consentire il traffico solo da entità note.

Monitora le modifiche della configurazione al dominio, tieni traccia delle attività dell'utente e controlla le richieste dei dati, compresi gli attributi dettagliati delle connessioni. Utilizza i log di AWS CloudTrail e quelli di audit di OpenSearch per monitorare l'utilizzo delle API di configurazione e le richieste dei dati.

Proteggi i dati dalle vulnerabilità relative alla sicurezza. Per minimizzare la necessità di aggiornamenti di versione, il servizio OpenSearch offre patch e aggiornamenti di sicurezza compatibili con le versioni precedenti per tutte le versioni supportate di OpenSearch ed Elasticsearch.

Proteggi l'accesso ai dati sensibili e confidenziali utilizzando i controlli di sicurezza avanzati. Utilizza la sicurezza a livello di indice, documento e campo per limitare l'accesso a specifici indici, documenti e campi.

Comunica in modo sicuro con il dominio OpenSearch utilizzando le richieste firmate con Sigv4 con i kit SDK AWS o l'interfaccia della linea di comando AWS (CLI).

Rispetta i severi requisiti di conformità e governance della tua organizzazione. Il servizio OpenSearch di Amazon partecipa a diversi programmi di conformità standard di settore, tra cui HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO & CSA STAR, FIPS 140-2.

Raccogli log da fonti diverse con formati diversi, normalizza e confronta i dati dei log di sicurezza.

Risorse per la sicurezza

Visualizzazione di 1 - 8 (13)

Argomenti della pagina

Domande frequenti sulla sicurezza
4

Domande frequenti sulla sicurezza

Il servizio OpenSearch di Amazon presenta molteplici caratteristiche di sicurezza, è idoneo alla normativa HIPAA e conforme agli standard PCI DSS, SOC, ISO e FedRamp, mettendoti in grado di soddisfare le tue esigenze di sicurezza e conformità. L'accesso alle API di gestione del servizio OpenSearch di Amazon per operazioni quali la creazione e il dimensionamento di domini è controllabile con le policy AWS Identity and Access Management (IAM).

I domini del servizio OpenSearch di Amazon possono essere configurati in modo da essere accessibili con un endpoint nel tuo VPC o con uno pubblico accessibile da Internet. L'accesso di rete per gli endpoint VPC è controllabile con gruppi di sicurezza, mentre per endpoint pubblici può essere concesso o limitato tramite indirizzo IP.

Oltre al controllo dell'accesso basato su rete, il servizio OpenSearch di Amazon offre la funzione di autenticazione degli utenti tramite IAM e di autenticazione base utilizzando nome utente e password. L'autorizzazione può essere concessa a livello di dominio (tramite le policy di accesso al dominio) nonché a livello di indice, documento e campo (tramite la caratteristica di controllo dell'accesso a grana fine fornita da OpenSearch). Inoltre, la caratteristica di controllo degli accessi a grana fine estende Pannelli di Controllo OpenSearch e Kibana con visualizzazioni di sola lettura e supporto multi-tenant sicuro.

Amazon OpenSearch Service supporta anche un'integrazione con Amazon Cognito, per permettere agli utenti finali di accedere a Pannelli di Controllo OpenSearch e Kibana tramite provider di identità aziendali come Microsoft Active Directory utilizzando SAML 2.0, bacino di utenti Amazon Cognito e altro ancora. Una volta effettuato l'accesso, Amazon Cognito stabilisce una sessione utilizzando l’entità IAM appropriata, che fornisce l'accesso al dominio Amazon OpenSearch Service. Queste entità IAM sono quindi disponibili per essere utilizzate con la caratteristica di controllo degli accessi granulare fornita da OpenSearch.

In Amazon OpenSearch Service la sicurezza si articola in tre livelli: rete, policy di accesso ai domini e controllo granulare dell'accesso. Il primo livello di sicurezza è la rete, che determina se le richieste raggiungono un dominio. Supportiamo l'accesso pubblico attraverso Internet o l'accesso VPC limitato a specifici gruppi di sicurezza nel tuo VPC. Il secondo livello di sicurezza è la policy di accesso ai domini. Dopo che una richiesta raggiunge un endpoint di un dominio, la policy di accesso ai domini accetta o rifiuta la richiesta di accesso a un dato URL. La policy di accesso ai domini accetta o rifiuta le richieste ai margini del dominio, prima che raggiungano OpenSearch/Elasticsearch stesso. Il terzo e finale livello di sicurezza è il controllo granulare dell'accesso. Dopo che una policy di accesso ai domini permette a una richiesta di raggiungere un endpoint del dominio, la funzione di controllo granulare dell'accesso valuta le credenziali dell'utente e lo autentica o rifiuta la richiesta. Se l'utente viene autenticato, la funzione di controllo granulare dell'accesso recupera tutti i ruoli mappati su quell'utente e utilizza il set completo di autorizzazioni per determinare a quali dati l'utente ha accesso.

Sì, il servizio OpenSearch di Amazon supporta la crittografia per i dati inattivi tramite AWS Key Management Service (KMS), la crittografia da nodo a nodo tramite TLS e la capacità di richiedere ai clienti di comunicare tramite HTTPS. La funzione di crittografia per i dati inattivi crittografa shard, file di log, file di swap e snapshot S3 automatici. Puoi usare chiavi gestite da AWS o sceglierne una delle tue. La crittografia da nodo a nodo abilita TLS per tutte le comunicazioni tra nodi. Amazon OpenSearch Service implementa e ruota automaticamente certificati durante la vita del dominio. Se richiedi ai clienti di comunicare tramite HTTPS, puoi anche specificare la versione TLS minima.

Quando l'accesso VPC è abilitato, l'endpoint per Amazon OpenSearch Service è accessibile solo all'interno del VPC del cliente. Per utilizzare il tuo computer portatile per accedere ai pannelli di controllo OpenSearch e Kibana dall'esterno del VPC, è necessario connettere il computer portatile al VPC utilizzando VPN o VPC Direct Connect.