• Italiano
  • English
  • Pусский
  • Español
elasticsearch linux

Как настроить SSL/TLS в Elasticsearch

13 feb 2024 2 min di lettura
Как настроить SSL/TLS в Elasticsearch
Indice dei contenuti

Введение

В эпоху цифровых технологий защита данных при передаче и хранении имеет решающее значение для любой организации. Elasticsearch, популярная поисковая и аналитическая система с открытым исходным кодом, не является исключением. Он широко используется для анализа данных журналов или событий, полнотекстового поиска и сложных запросов. Однако без адекватных мер безопасности конфиденциальные данные могут быть уязвимы для перехвата и несанкционированного доступа. Включение SSL/TLS ( Transport Layer Security ) в Elasticsearch — важный шаг в защите ваших данных.

В этом подробном руководстве описаны шаги по настройке SSL/TLS, обеспечивающие большую безопасность вашего кластера Elasticsearch.

Предварительные условия

Прежде чем приступить к работе, убедитесь, что у вас есть следующее:

  • Настроенный и работающий кластер Elasticsearch.
  • Административный доступ к файлам конфигурации Elasticsearch.
  • Действительный сертификат SSL/TLS. Вы можете получить сертификат в центре сертификации (CA) или создать самозаверяющий сертификат для целей тестирования.

Шаг 1. Создайте сертификаты SSL/TLS.

Первым шагом является создание сертификатов SSL/TLS для ваших узлов Elasticsearch. Если вы используете самозаверяющие сертификаты для тестирования, инструмент Elasticsearch-certutil может упростить этот процесс. Для производственных сред мы рекомендуем использовать сертификаты, выданные доверенным центром сертификации.

Создайте центр сертификации (CA). Этот шаг имеет решающее значение, поскольку позволяет вам подписывать сертификаты Elasticsearch. Для этой цели Elasticsearch предоставляет инструмент elasticsearch-certutil.

./bin/elasticsearch-certutil ca

Когда будет предложено ввести имя файла CA, нажмите Enter, чтобы использовать имя по умолчанию или задать новое имя.

Создайте SSL-сертификат для Elasticsearch. Теперь, используя созданный вами центр сертификации, создайте специальный сертификат для ваших узлов Elasticsearch.

./bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

Замените elastic-stack-ca.p12 фактическим путем, по которому хранится сертификат CA. Эта команда создает файл.p12 (PKCS#12), который инкапсулирует сертификат узла, закрытый ключ и сертификат CA. В зависимости от вашей конфигурации вам может потребоваться создать отдельные сертификаты для каждого узла кластера.

Шаг 2. Настройте Elasticsearch для использования сертификата SSL

Если у вас есть сертификаты SSL/TLS, вам необходимо настроить Elasticsearch для их использования. Это включает в себя редактирование файла конфигурации elasticsearch.yml на каждом узле кластера.

Добавьте следующие конфигурации в elasticsearch.yml на каждом узле:

xpack.security.enabled: true
 xpack.security.transport.ssl.enabled: true
 xpack.security.transport.ssl.verification_mode: certificate
 xpack.security.transport.ssl.client_authentication: required
 xpack.security.transport.ssl.keystore.path: elastic-certificates.p12
 xpack.security.transport.ssl.truststore.path: elastic-certificates.p12
 xpack.security.http.ssl.enabled: true
 xpack.security.http.ssl.keystore.path: elastic-certificates.p12
 xpack.security.http.ssl.truststore.path: elastic-certificates.p12

Замените «elastic-certificates.p12» именем файла сертификата, который вы создали на предыдущем шаге.

Шаг 3. Перезапустите Elasticsearch.

После настройки всех узлов перезапустите кластер Elasticsearch, чтобы применить изменения. Убедитесь, что кластер запускается без ошибок и что все узлы могут взаимодействовать друг с другом через SSL/TLS.

Шаг 4. Проверьте конфигурацию SSL/TLS.

Чтобы убедиться, что SSL/TLS включен и работает правильно, используйте такой инструмент, как Curl, чтобы отправить запрос к HTTP API Elasticsearch:

curl -k https://localhost:9200

Опция -k позволяет Curl подключаться без проверки сертификата, что полезно для первоначального тестирования с самозаверяющими сертификатами. Если все настроено правильно, вы должны получить ответ в формате JSON от Elasticsearch.

Заключение

Защита кластера Elasticsearch с помощью SSL/TLS — важный шаг в защите ваших данных. Следуя инструкциям, описанным в этом руководстве, вы можете гарантировать, что ваши данные останутся в безопасности во время транспортировки, снизив потенциальные риски перехвата или подделки данных. Всегда не забывайте использовать доверенные сертификаты ЦС для производственных сред, чтобы обеспечить высочайший уровень безопасности и надежности.

Buy me a coffeeBuy me a coffee

Supportaci se ti piacciono i nostri contenuti. Grazie.

Successivamente, completa il checkout per l'accesso completo a Noviello.it.
Bentornato! Accesso eseguito correttamente.
Ti sei abbonato con successo a Noviello.it.
Successo! Il tuo account è completamente attivato, ora hai accesso a tutti i contenuti.
Operazione riuscita. Le tue informazioni di fatturazione sono state aggiornate.
La tua fatturazione non è stata aggiornata.