security - platinum - elasticsearch pricing

Como ElasticSearch es algo así como un servicio de base de datos, probablemente no quiera que se exponga públicamente de todos modos.

No confío en los complementos para hacer eso por mí, así que lo hice con un proxy nginx.

Este tutorial es muy útil:

http://www.minvolai.com/blog/2014/08/Setting-up-a-Secure-Single-Node-Elasticsearch-server-behind-Nginx/Setting-up-a-Secure-Single-Node-Elasticsearch-server-behind-Nginx/

Con respecto a una solución específica a este problema, me encontré con lo siguiente que es una implementación simple de un enfoque de proxy inverso como se menciona en otras respuestas:

https://gist.github.com/jpluscplusm/9227777

Como advertencia, parece que al menos algunos en Elasticsearch propiamente dicho no consideran que nginx sea la solución óptima, pero creo que eso depende de los detalles de sus requisitos de autenticación (RBAC, número de usuarios, número de índices, frecuencia de las modificaciones de la lista de acceso ) Para algunos usuarios (incluyéndome a mí), el primer ejemplo es suficiente.

http://www.elasticsearch.org/blog/restricting-users-kibana-filtered-aliases/

Si encuentra que los detalles de su requerimiento no los cumple nginx, algo como esto podría funcionar: https://github.com/lukas-vlcek/node.es

El complemento mencionado en esta respuesta ya no recibe un soporte activo.

No hay control de acceso incorporado en elasticsearch. Por lo tanto, necesitaría configurar un proxy inverso (aquí hay una publicación de blog sobre cómo configurar nginx), usar uno de los complementos de élite de terceros como https://github.com/Asquera/elasticsearch-http-basic o usar el complemento de seguridad oficial Shield .

Elasticsearch ahora tiene un complemento de seguridad http://www.elasticsearch.org/blog/shield-know-security-coming-soon/

La única forma preferible de habilitar la seguridad en Elasticsearch es a través del complemento X-Pack.

https://www.elastic.co/guide/en/x-pack/current/xpack-introduction.html

Este es un complemento multipropósito y se ajustará bien por razones de seguridad, ya que también puede usar la supervisión y configurar las alertas y notificaciones según sus necesidades.

Como ya es altamente reconocido, estoy seguro de que Elasticsearch continuará con esto para iniciar sesión.

Prueba Shield . Tiene Autenticación y Autorización. Por ahora necesita una licencia. No pasará mucho tiempo antes de que las personas creen complementos de código abierto similares.

Si desea utilizar la autenticación básica con Kibana3, esta es mi solución:

https://github.com/fangli/kibana-authentication-proxy

Admite no solo el backend de basicAuth ES, sino también GoogleOAuth y BasicAuth para el cliente. Por favor, dale una estrella si funciona para ti, gracias.

Soy muy novato en ElasticSearch, pero creo que el complemento X-Pack debería aparecer aquí como respuesta: https://www.elastic.co/guide/en/x-pack/current/index.html

Tengo entendido que X-Pack es ahora el estándar de facto para asegurar ElasticSearch (y mucho más), incluida la autenticación.

Actualización : Funciona bastante bien y es (para las funciones más conocidas) de código abierto y gratuito: github.com/floragunncom/search-guard

NOTA: El complemento mencionado en este artículo ya no se mantiene

Tal vez esto ayude: https://github.com/salyh/elasticsearch-security-plugin

Este complemento agrega funcionalidad de seguridad http / resto a Elasticsearch en tipo de módulos separados. En lugar de Netty, se utiliza un Tomcat 7 integrado para procesar solicitudes http / resto.

Actualmente, para autenticación y autorización basada en usuario, Kerberos y NTLM son compatibles a través de waffle de biblioteca de terceros (solo en servidores de Windows). Para servidores UNIX, Kerberos es compatible con la biblioteca de terceros tomcatspnegoad (Funciona con cualquier implementación kerberos. Para la autorización, se admite Active Directory y LDAP genérico).

Puede usar este complemento también sin Kerberos / NTLM, pero solo está disponible la autenticación basada en host.

<shamelessPlug>

Lo siento, pero tengo serias dudas acerca de todos estos complementos y proxies que solo intentan capturar consultas con expresiones retrospectivas descuidadas a nivel HTTP.

¿Regerará toda la sintaxis ES posible que pueda realizar una escritura? ¿Cómo se filtra por índice? ¿Qué hay de los alias de índice? ¿Consultas multi-índice?

La única manera limpia de hacer el control de acceso es AFTER ElasticSearch ha analizado las consultas. ¡Esto es exactamente lo que hace Shield después de todo!

Escribí un plugin con licencia de MIT ( readonly-rest-plugin ) que hace exactamente esto.

Puede hacer coincidir la solicitud entre:

• ✔ Nombre de host, IP e IP con Netmask

• ✔ Índices (comodines soportados) y alias de índice son resueltos

• ✔️ HTTP Basic Auth

También tiene soporte de primera clase para la autenticación Kibana :)

</shamelessPlug>