Asegurando elasticsearch detrás de un proxy inverso

2

Tengo la intención de ejecutar un índice de Elasticsearch para almacenar una copia persistente de los datos recuperados de un servicio externo. Mi plan es alojar el índice Elasticsearch en AWS, y hacer que escuche solo en 127.0.0.1 . En ese momento intentaba usar un proxy inverso ( nginx ) para permitir solo las solicitudes de tipo de búsqueda y rechazar cualquier otra (por ejemplo, actualizaciones, administración de clústeres / estadísticas, etc.).

Según tengo entendido, podría hacer todas las actualizaciones localmente en la propia caja, y el proxy inverso sería suficiente seguridad para evitar que alguien pisotee mis datos.

Por lo tanto, mi pregunta es esta : ¿sería seguro un simple proxy inverso que permita / deniegue el acceso basado en URI ? ¿Qué problemas podría enfrentar con respecto a la edición maliciosa de datos? ¿Hay vectores de ataque en una configuración que no haya considerado?

Nota: tengo la intención de reforzar el firewall para permitir solo el acceso al puerto proxy, etc. ¡El objetivo de esta pregunta es la seguridad de la idea del proxy inverso!

    
pregunta shearn89 13.02.2015 - 12:30
fuente

1 respuesta

2

El proxy inverso es una forma de hacerlo. Hay algunos otros complementos que podrías poner en tu clúster de elasticsearch que son un poco más robustos:

  1. Shield - Solo licencia comercial, elastic.co

      

    Shield es un complemento para Elasticsearch que te permite proteger fácilmente   un clúster. Con Shield, puede proteger con contraseña sus datos, así como   Implementar medidas de seguridad más avanzadas como el cifrado.   Comunicaciones, control de acceso basado en roles, filtrado de IP y auditoría.   Esta guía describe cómo instalar Shield, configurar la seguridad   características que necesita, e interactuar con su clúster seguro.

  2. SearchGuard - Licencias comerciales y gratuitas, de floragunn

      

    Search Guard ofrece la misma funcionalidad que Shield, agrega adicional   Características en la parte superior, a un precio mucho más bajo y con un más flexible   esquema de licencias. Las características adicionales incluyen:

         

    Soporte de OpenSSL Soporte de Kerberos Soporte de autenticación de proxy HTTP   Compatibilidad con token web JSON Código fuente disponible: ejecute su propia seguridad   auditorías Las licencias para Search Guard se basan en grupos de producción, no   nodos Eso significa que puede escalar su grupo arriba y abajo como   Necesario, sin afectar los costos de la licencia. Desarrollo-,   Los sistemas de estadificación, integración y QA / AUT están cubiertos por la licencia   también sin costo adicional.

respondido por el bitwisebytefoolish 06.10.2016 - 19:05
fuente

Lea otras preguntas en las etiquetas