Protezione di elasticsearch dietro un proxy inverso

Naviga le tue risposte
2

Intendo eseguire un indice Elasticsearch per archiviare una copia persistente di dati recuperati da un servizio esterno. Il mio piano è di ospitare l'indice Elasticsearch su AWS e farlo ascoltare solo su 127.0.0.1 . Avevo quindi intenzione di utilizzare un proxy inverso ( nginx ) per consentire solo le richieste del tipo di ricerca e rifiutarne altre (ad es. Aggiornamenti, gestione / statistiche del cluster, ecc.)

A quanto ho capito, potrei quindi fare tutti gli aggiornamenti localmente sulla scatola stessa, e il proxy inverso sarebbe abbastanza sicuro da impedire a qualcuno di calpestare tutti i miei dati.

Quindi, la mia domanda è questa : un semplice proxy inverso che consente / negando l'accesso basato su URI è sicuro? Quali problemi posso affrontare per quanto riguarda l'editing dannoso dei dati? Ci sono vettori di attacco su un setup del genere che non ho considerato?

Nota: ho intenzione di stringere il firewall per consentire solo l'accesso alla porta proxy, ecc. L'attenzione di questa domanda è sulla sicurezza dell'idea del reverse-proxy!

    
posta shearn89 13.02.2015 - 12:30
fonte

1 risposta

2

Il proxy inverso è un modo per farlo. Ci sono altri plugin che potresti inserire nel tuo cluster elasticsearch che sono un po 'più robusti:

  1. Scudo - Solo licenza commerciale, elastic.co

    Shield is a plugin for Elasticsearch that enables you to easily secure a cluster. With Shield, you can password-protect your data as well as implement more advanced security measures such as encrypting communications, role-based access control, IP filtering, and auditing. This guide describes how to install Shield, configure the security features you need, and interact with your secured cluster.

  2. SearchGuard - Licenze commerciali e gratuite, da floragunn

    Search Guard offers the same functionality as Shield, adds additional features on top, at a much lower price point and with a more flexible licensing schema. Additional features include:

    OpenSSL support Kerberos support HTTP Proxy Authentication support JSON Web token support Source code available – run your own security audits Licenses for Search Guard are based on production clusters, not nodes. That means that you can scale your cluster up- and down as necessary, without affecting the license costs. Development-, staging-, integration- and QA/AUT-systems are covered by the license as well at no additional cost.

risposta data 06.10.2016 - 19:05
fonte

Leggi altre domande sui tag

Facilità di ottenere dati sull'unità auto crittografata dal computer Windows 7/8 con blocco dello schermo più chiavi private per singola chiave pubblica