使用 Amazon OpenSearch Service 进行审核并保护搜索和日志分析数据
满足并保持身份验证、授权、加密、审计和监管合规等方面要求的您的安全性需求。
基于大量数据的分析解决方案特别容易受到安全风险和漏洞的影响。 您需要具有以下功能的强大安全性和合规性解决方案:
- 安心托管敏感工作负载
- 保护并限制对机密数据的访问
- 与第三方身份提供商集成
- 保护静态和传输中的数据
- 审核用户活动和配置更新
- 为您的自定义应用程序和其他 AWS 服务配置编程访问
我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。
如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。
关键 Cookie 对我们提供网站和服务来说绝对必要,不可将其禁用。关键 Cookie 通常是根据您在网站上的操作(例如,设置您的隐私首选项,登录或填写表格)来设置的。
性能 Cookie 可为我们提供有关客户使用网站情况的匿名统计信息,以便我们改善用户的网站体验及网站性能。经批准的第三方可为我们执行分析,但不可将数据用于其自身目的。
功能 Cookie 有助于我们提供有用的网站功能,记住您的首选项及显示有针对性的内容。经批准的第三方可对功能 Cookie 进行设置以提供某些网站功能。如果您不允许功能 Cookie,则某些或所有这些服务可能无法正常提供。
广告 Cookie 可由我们或我们的广告合作伙伴通过我们的网站进行设置,有助于我们推送有针对性的营销内容。如果您不允许广告 Cookie,则您所接收到的广告的针对性将会有所降低。
阻止某些类型的 Cookie 的话,可能会影响到您的网站体验。您可以随时单击此网站页脚中的 Cookie 首选项来对您的 Cookie 首选项进行更改。要了解有关我们及经批准的第三方如何在网站上使用 Cookie 的更多信息,请阅读 AWS Cookie 声明。
我们会在 AWS 网站和其他资产上展示与您的兴趣相关的广告,包括跨情境行为广告。跨情境行为广告使用来自一个网站或应用程序的数据,在另一个公司的网站或应用程序上向您投放广告。
若要不允许基于 Cookie 或类似技术的 AWS 跨情境行为广告,请选择下面的“不允许”和“保存隐私选择”,或访问启用了法律认可的拒绝信号的 AWS 网站(如全球隐私控制)。如果您删除 Cookie 或使用其他浏览器或设备访问此网站,则需要再次做出选择。有关 Cookie 以及我们如何使用的更多信息,请阅读我们的 AWS Cookie 通知。
若要不允许所有其他 AWS 跨情境行为广告,请通过电子邮件填写此表单。
如需进一步了解 AWS 如何处理您的信息,请阅读 AWS 隐私声明。
我们目前只会存储基本 Cookie,因为我们无法保存您的 Cookie 首选项。
如果您想要更改 Cookie 首选项,请稍后使用 AWS 控制台页脚中的链接重试,如果问题仍然存在,请联系技术支持。
满足并保持身份验证、授权、加密、审计和监管合规等方面要求的您的安全性需求。
基于大量数据的分析解决方案特别容易受到安全风险和漏洞的影响。 您需要具有以下功能的强大安全性和合规性解决方案:
使用您选择的身份验证和授权方法,包括本地 SAML 支持、AWS Cognoto、AWS IAM 等,为您的用户提供安全访问。有关更多信息,请参阅通过控制面板使用 SAML 和身份和访问管理。
通过使用军用级 AES-256 AWS 密钥管理服务(KMS)密钥对磁盘、日志文件和自动快照上的数据进行加密,保护您的数据免受攻击。使用 TLS 1.2 加密节点之间的传输中数据。
使用一种或多种访问控制功能(例如 AWS IAM 策略或精细访问控制)为用户提供一种受控且可预测的方式来查询业务数据并监控集群配置。
通过使用 AWS 身份和资源策略将身份和资源与特定的允许/拒绝操作相关联,保护您的域的边界。使用 Amazon Virtual Private Cloud(VPC)和 Amazon VPC 安全组创建逻辑上隔离的网络,以仅允许来自已知实体的流量。
监控域的配置更改、跟踪用户活动并审核数据请求,包括详细的连接属性。使用 AWS CloudTrail 日志记录和 OpenSearch 审核日志,以监控配置 API 的使用和对数据的请求。
保护您的数据免受安全漏洞的影响。为了尽可能减少对版本升级的需求,OpenSearch Service 为所有受支持的 OpenSearch 和 Elasticsearch 版本提供向后兼容的安全补丁。
使用高级安全控制保护对敏感或机密数据的访问。使用索引、文档或字段级别的安全性来限制对特定索引、文档或字段的访问。
使用通过 AWS SDK 发送的 Sigv4 签名请求或使用 AWS 命令行界面(CLI)与您的 OpenSearch 域进行安全通信。
满足组织的严格合规和监管要求。Amazon OpenSearch Service 是多个行业标准合规性计划的一部分,包括 HIPAA、FedRAMP、DoD CC SRG、SOC、PCI、ISO 和 CSA STAR、FIPS 140-2。
从不同来源收集不同格式的日志,标准化和比较安全日志数据。
Amazon OpenSearch Service 提供多种安全特性,符合 HIPAA 标准及 PCI DSS、SOC, ISO 和 FedRamp 标准,以满足您的安全和合规性要求。Amazon OpenSearch Service 管理 API 的访问,例如创建和扩展域等操作,可通过 AWS Identity and Access Management(IAM)策略进行控制。
Amazon OpenSearch Service 域可以配置为通过 VPC 内的端点或互联网的公有端点进行访问。VPC 终端节点的网络访问由安全组控制,对于公有终端节点,可通过 IP 地址授予或限制访问。
除了基于网络的访问控制之外,Amazon OpenSearch Service 还提供通过 IAM 的用户身份验证和使用用户名和密码的基本身份验证。您可以在域级别(通过域访问策略)以及索引、文档和字段级别(通过 OpenSearch 支持的细粒度访问控制特性)进行授权。此外,细粒度访问控制特性还为 OpenSearch Dashboards 和 Kibana 扩展了只读视图和安全的多租户支持。
Amazon OpenSearch Service 还支持与 Amazon Cognito 集成,以便您的最终用户通过使用 SAML 2.0 的 Microsoft Active Directory、Amazon Cognito 用户池等企业身份提供商登录 OpenSearch Dashboards 和 Kibana。登录后,Amazon Cognito 会使用相应的 IAM 主体建立会话,可提供对 Amazon OpenSearch Service 域的访问权限。这些 IAM 主体也可以与 OpenSearch 支持的细粒度访问控制特性结合使用。
Amazon OpenSearch Service 有三个主要安全层:网络、域访问策略和细粒度访问控制。第一个安全层是网络,它决定请求是否会到达域。我们支持通过互联网的公共访问,也支持通过 VPC 中指定安全规则组的 VPC 访问。域访问策略是第二个安全层。当请求到达域端点后,域访问策略允许或拒绝请求访问给定 URL。域访问策略在请求本身到达 OpenSearch/Elasticsearch 前在域边缘接受或拒绝请求。第三个也是最后一个安全层是细粒度访问控制。域访问策略允许请求到达域终端节点后,细粒度访问控制对用户凭证进行评估,并对用户进行身份验证或拒绝请求。如果细粒度访问控制对用户进行了身份验证,它将获取映射到该用户的所有角色,并使用完整的权限集来确定用户可以访问哪些数据。
是的,Amazon OpenSearch Service 支持通过 AWS Key Management Service (KMS) 进行静态加密,通过 TLS 进行节点到节点加密,并且要求客户端通过 HTTPS 进行通信。静态加密功能可加密分片、日志文件、交换文件和 S3 中的自动快照。您可以使用 AWS 托管的密钥或选择您自己的密钥。节点到节点支持使用 TLS 加密节点之间的所有通信。Amazon OpenSearch Service 在域的整个生命周期自动部署和轮换证书。如果您要求客户端通过 HTTPS 进行通信,您还可以指定最低 TLS 版本。
启用 VPC 访问后,Amazon OpenSearch Service 的端点仅能在客户 VPC 内进行访问。若要使用笔记本电脑从 VPC 外部访问 OpenSearch Dashboards 和 Kibana,您需要使用 VPN 或 VPC Direct Connect 将笔记本电脑连接至该 VPC。