保护Elastic Stack

Elastic Stack 由许多移动部件组成。有组成集群的 Elasticsearch 节点，还有 Logstash 实例、Kibana 实例、Beats 代理以及与集群通信的客户端。为了确保您的集群安全，请遵循 Elasticsearch 安全原则。

第一个原则是启用安全功能运行Elasticsearch。配置安全功能可能很复杂，因此我们使其变得简单，可以自动启用并配置Elastic Stack的安全功能。对于任何新集群，只需启动Elasticsearch即可自动启用密码保护，使用传输层安全性（TLS）保护节点间通信，并加密Elasticsearch和Kibana之间的连接。

如果您有一个现有的、不安全的集群（或者更喜欢自己管理安全性），您可以 手动启用和配置安全性 以保护 Elasticsearch 集群以及与您的集群通信的任何客户端。您还可以 实施额外的安全措施，例如基于角色的访问控制、IP 过滤和审计。

启用安全功能通过以下方式保护 Elasticsearch 集群：

为了防止未经授权访问您的 Elasticsearch 集群，您需要一种方法来 验证用户，以验证用户是否是他们声称的那个人。例如，确保只有名为 Kelsey Andorra 的人可以以用户 kandorra 的身份登录。Elasticsearch 安全功能提供了一个独立的 身份验证机制，使您能够快速为您的集群设置密码保护。

如果您已经在使用 LDAP、Active Directory 或 PKI 来管理组织中的用户，安全功能将集成这些系统以执行用户身份验证。

在许多情况下，仅对用户进行身份验证是不够的。您还需要一种方法来控制用户可以访问哪些数据以及他们可以执行哪些任务。通过启用 Elasticsearch 安全功能，您可以通过为用户分配访问权限并将这些角色分配给用户来授权用户。使用这种基于角色的访问控制机制（RBAC），您可以限制用户 kandorra 仅对 events 索引执行读操作，并限制对所有其他索引的访问。

安全功能还使您能够根据IP过滤限制可以连接到集群的节点和客户端。您可以阻止和允许特定的IP地址、子网或DNS域，以控制对集群的网络级别访问。

请参阅用户认证和 用户授权。

安全的一个关键部分是确保机密数据的安全。 Elasticsearch 内置了防止意外数据丢失和损坏的保护措施。然而，没有什么能阻止故意篡改或数据拦截。Elastic Stack 安全功能使用 TLS 来保护您的数据免受篡改，同时通过加密集群内外的通信来提供机密性。为了获得更大的保护，您可以增加加密强度。

请参阅为Elastic Stack配置安全功能。

保持系统安全需要警惕。通过使用 Elastic Stack 安全功能来维护审计日志，您可以轻松查看谁在访问您的集群以及他们在做什么。您可以配置审计级别，这包括记录的事件类型。这些事件包括失败的认证尝试、用户访问被拒绝、节点连接被拒绝等。通过分析访问模式和访问集群的失败尝试，您可以深入了解潜在的攻击和数据泄露。保持集群活动的可审计日志也有助于诊断操作问题。

参见 启用审计日志。