2.8 Elasticsearch-安全加固:TLS 1.3 传输加密、RBAC、API Key、IP 白名单

最新推荐文章于 2025-12-02 21:46:06 发布
原创 最新推荐文章于 2025-12-02 21:46:06 发布 · 347 阅读 · 3 ·
CC 4.0 BY-SA版权
CC BY-NC-SA 3.0
文章标签:

#elasticsearch #安全 #tcp/ip

在这里插入图片描述
2.8 Elasticsearch-安全加固:TLS 1.3 传输加密、RBAC、API Key、IP 白名单
——把“裸奔”的集群塞进三层防弹衣

  1. 背景:为什么 9200 端口不能再裸奔
    上一篇我们把 8.x 集群从 7.x 滚动升级完毕,xpack 默认已开启,但只是“有”安全功能,远未到“够用”。
    渗透测试报告里三条红线:
  2. 传输层抓包可直接拿到索引明文;
  3. 使用超级管理员 elastic 账号每天跑批;
  4. 9200 对全网 0.0.0.0/0 开放。
    本章给出一份可直接落地的“三层防弹衣”方案,全部基于 8.x 原生能力,零商业授权,30 min 内可全量灰度。
  1. 防弹衣第 1 层:TLS 1.3 传输加密
    目标:node-to-node、node-to-client 全链路强制 TLS1.3,禁用一切 RSA 密钥交换,把握手时间压到 1-RTT,CPU 消耗降 18%。

1.1 证书规划(ECDSA 双证书链)
├── root-ca.crt(secp384r1,20 年)
├── node-ca.crt(secp256r1,5 年,只做中间签发)
└── 每节点三张实体证书:
├── transport.crt (OID:1.3.6.1.5.5.7.3.1 + 1.3.6.1.5.5.7.3.2)
├── http.crt (SAN 含节点 IP、DNS、k8s SVC)
└── admin.crt (供运维 CLI 用,O=admin,OU=ops)

1.2 签发脚本(cfssl 一次性批量)
cat <<EOF | cfssl gencert -ca=node-ca.crt -ca-key=node-ca-key.pem -config=tls-config.json - | cfssljson -bare es-node-1
{
“CN”: “es-node-1.transport”,
“hosts”: [“10.0.0.21”,“es-node-1”,“localhost”,“127.0.0.1”],
“key”: { “algo”: “ecdsa”, “size”: 256 }
}
EOF

1.3 elasticsearch.yml 关键段
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.client_authentication: required
xpack.security.transport.ssl.supported_protocols: [TLSv1.3]
xpack.security.http.ssl.enabled: true
xpack.security.http.ssl.supported_protocols: [TLSv1.3]
xpack.security.http.ssl.cipher_suites: [
“TLS_AES_256_GCM_SHA384”,
“TLS_CHACHA20_POLY1305_SHA256”
]

1.4 灰度顺序

  1. 先滚动重启 data 节点,再重启 master;
  2. 观察 GET _nodes/stats/transport 确认未回落 TLSv1.2;
  3. 用 openssl s_client -tls1_3 测试 9200,确认 ServerTempKey 为 X25519。
  1. 防弹衣第 2 层:RBAC 最小权限模型
    目标:让“每天跑批的脚本”拿不到 delete_index 权限,让“Kibana 只读用户”看不到 .security 索引。

2.1 角色设计(YAML 即 cat 角色文件)

1. 应用写角色:只允许写指定别名

app_writer:
cluster: [ ‘monitor’ ]
indices:
- names: [ ‘app-logs-*’ ]
privileges: [ ‘create_index’,‘write’,‘create’ ]
field_security:
grant: [ ‘@timestamp’,‘msg’,‘level’ ]

2. 开发只读角色

dev_readonly:
cluster: [ ‘monitor/main’ ]
indices:
- names: [ ‘app-logs-','metrics-’ ]
privileges: [ ‘read’,‘view_index_metadata’ ]
query: ‘{“term”:{“team”:{“value”:“dev”}}}’

3. 备份角色:只能 snapshot

backup_role:
cluster: [ ‘create_snapshot’,‘manage’ ]
indices:
- names: [ ‘*’ ]
privileges: [ ‘read’,‘view_index_metadata’ ]

2.2 用户组映射(LDAP/AD 免维护)
xpack.security.authc.realms.active_directory.ad1:
domain_name: corp.example.com
user_search.filter: “(sAMAccountName={0})”
group_search.base_dn: “OU=Elastic,DC=corp,DC=example,DC=com”
files.role_mapping: /etc/elasticsearch/role_mapping.yml

role_mapping.yml 片段
dev_readonly:

  • “CN=elastic-dev,OU=Groups,DC=corp,DC=example,DC=com”
    app_writer:
  • “CN=elastic-app,OU=Groups,DC=corp,DC=example,DC=com”

2.3 审计日志
xpack.security.audit.enabled: true
xpack.security.audit.outputs: [ index, logfile ]
xpack.security.audit.index.events.include: [ authentication_success, authentication_failed, access_granted, access_denied ]

  1. 防弹衣第 3 层:API Key + IP 白名单
    目标:让“跑批脚本”不再存 elastic 明文密码,且即使 key 泄露,也只能在指定网段使用。

3.1 创建最小权限 API Key
POST /_security/api_key
{
“name”: “logstash-7-17-write”,
“role_descriptors”: {
“logstash_writer”: {
“cluster”: [“monitor”,“manage_index_templates”],
“index”: [
{
“names”: [“logstash-*”],
“privileges”: [“create”,“write”,“create_index”]
}
]
}
},
“expiration”: “90d”,
“metadata”: { “owner”: “logstash-team”, “env”: “prod” }
}

返回:
{
“id”: “QcYtv40Bop7cWX0lr5dG”,
“api_key”: “x3bEzZfGQFeSpG7F1E8xdw”,
“encoded”: “UWNZdHY0MEJvcDdjVVgwbHI1ZEc6eDNiRXpaZkdRRmVTcEc3RjFFOHhkdz09”
}

3.2 IP 白名单(8.x 原生支持)
在 elasticsearch.yml 追加
xpack.security.http.filter.enabled: true
xpack.security.http.filter.allow: [ “10.0.0.0/8”, “192.168.10.0/24” ]
xpack.security.http.filter.deny: [ “0.0.0.0/0” ]

说明:

  • 该过滤在 HTTP 层第一环生效,比 SG 插件早,性能损耗 <1%;
  • 支持 x-forwarded-for,只需加 xpack.security.http.filter.allow_forwarded: true

3.3 轮换与吊销

30 天滚动轮换脚本

GET /_security/api_key?name=logstash-7-17-write
POST /_security/api_key/QcYtv40Bop7cWX0lr5dG/_invalidate

新 key 推入 Vault,老 key 在 5 min 宽限期后自动失效。

  1. 灰度 checklist(生产直接复制打钩)

[ ] 1. 所有节点 openssl s_client -connect node:9300 -tls1_3 握手成功
[ ] 2. GET _ssl/certificates 返回无 RSA 证书
[ ] 3. 用普通用户跑 DELETE app-logs-2023 返回 403
[ ] 4. 用 API Key 在 10.0.0.0/8 外访问 9200 返回 403
[ ] 5. Kibana → Stack Management → Security → Audit 出现“access_denied”事件
[ ] 6. 集群整体 QPS 下降 ❤️%,GC 无异常

  1. 常见坑 5 连击

  2. 滚动重启后集群 RED:transport 证书 SAN 漏掉 master 节点 DNS,导致选主失败。

  3. Kibana 无法登录:role_mapping.yml 缩进用了 tab,AD 组名大小写敏感。

  4. logstash 报 401:API Key 放进了 keystore,但 pipeline 里把 id 拼成了 “id:api_key” 格式,正确是 “user:{user}:user:{pass}” 即 “id:api_key”。

  5. IP 白名单把自己 ban 了:改完未留跳板机,需通过 transport 9300 端口执行 curl -XPOST localhost:9200/_cluster/settings 关闭 filter。

  6. 升级后 cipher 套件不兼容 JDK8:8.x 默认只留 TLS1.3,需升级 JDK≥11;旧客户端可额外开启 TLSv1.2 过渡,但须把 cipher 白名单收紧到 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 等 3 套。

  1. 小结

TLS1.3 解决“路上裸奔”,RBAC 解决“权限裸奔”,API Key+IP 白名单解决“凭证裸奔”。
三步全部原生集成,无需重启集群即可回滚;配合审计与 Vault 轮换,便可把 Elasticsearch 塞进三层防弹衣,让安全团队从“反复打补丁”变成“一次性验收”。
更多技术文章见公众号: 大城市小农民

AI系统安全加固方案:架构师如何设计安全的运维流程
大数据洞察的博客
08-03 724
随着AI技术在关键业务领域的深度渗透,AI系统已成为企业核心资产和潜在攻击目标。与传统IT系统相比,AI系统面临数据泄露、模型投毒、推理攻击等特有安全风险,同时其复杂的技术栈和黑盒特性也为安全运维带来巨大挑战。本文将从架构师视角出发,系统阐述AI系统安全运维的完整方法论,提供一套可落地的安全加固方案。我们将深入探讨如何将安全理念融入AI系统全生命周期,构建"纵深防御"的安全运维体系,包括安全开发生命周期设计、安全部署流水线构建、运行时监控防护、应急响应机制等关键环节。
Elasticsearch 集群安全加固指南
csdn_tom_168的博客
08-17 747
Elasticsearch集群安全加固指南 本文提供全面的Elasticsearch安全加固方案,涵盖7大关键维度: 网络层:禁止公网暴露,隔离HTTP/Transport端口,使用反向代理; 认证授权:启用X-Pack Security,创建最小权限用户和API Key,实现RBAC加密通信:配置TLS/SSL加密节点与客户端通信; 配置加固禁用危险脚本、限制资源、关闭调试接口; 审计追踪:记录安全事件并集成SIEM系统; 运维规范:定期轮换凭证、禁用默认用户、多租户隔离; 安全检查:通过端口扫描和
Elasticsearch - Elasticsearch 与 Kubernetes 结合 容器化部署最佳方案
热门推荐
千淘万漉虽辛苦,吹尽狂沙始到金
11-19 1万+
本文探讨在Kubernetes上部署Elasticsearch的最佳实践,解决有状态应用容器化的核心挑战。通过角色分离架构设计,建议使用独立的StatefulSet部署主节点和数据节点,Deployment部署协调节点和接收节点。重点解决持久化存储问题,推荐本地SSD或高性能云盘,并给出AWS EBS StorageClass配置示例。文章包含架构图、YAML片段和注意事项,帮助构建高可用、高性能的云原生Elasticsearch集群。
07-云原生安全深度剖析:从 Kubernetes 集群防护到微服务安全加固
無言的博客
04-16 1315
在云原生架构下,Kubernetes 集群管理着大量动态变化的容器化应用,微服务通过 API 频繁交互,传统安全边界被打破。例如,一个包含 500 个容器的电商应用集群,每天可能有数百次的容器创建、销毁和服务升级操作,攻击者可利用容器生命周期管理漏洞、微服务间信任传递缺陷发起攻击。
AI系统安全加固:架构师如何设计安全的语音识别方案
Java大师兄的博客
07-30 1452
核心资产数据资产:用户原始语音、识别后文本、声纹特征模板;模型资产:ASR模型参数、训练数据、模型配置;服务资产:ASR API接口、声纹识别服务、用户认证系统。信任边界客户端→服务端(语音数据离开设备,进入传输层);服务端内部(ASR模块→业务逻辑模块→数据库);第三方集成(如调用外部TTS服务处理语音反馈)。示例:智能家居语音控制场景的资产清单资产类型具体内容敏感度数据资产用户语音指令(含“打开门锁”等控制指令)高(直接关联物理安全)数据资产。
Spring Boot集成Elasticsearch版本选择终极指南:从安全漏洞、版本兼容到生产实践
weixin_42440011的博客
08-08 1656
在本文我将从Java版本、Spring Boot兼容性、安全漏洞等角度,全面分析Spring Boot集成Elasticsearch的版本选择策略。
企业云环境未授权访问漏洞 - 安全加固笔记
「撕掉标签的实践派」​​ —— 拒绝纸上谈兵,所有方案经过真实环境验证
09-11 899
未授权访问漏洞是云环境中因安全配置不当导致攻击者无需凭证即可访问资源的安全威胁,主要风险包括数据泄露、服务中断等。常见漏洞类型涉及云平台管控、数据库、中间件等组件,如Kubernetes API Server、Redis等默认开放端口服务。防护策略需遵循最小权限原则,实施网络隔离、强制认证和自动化监控。发现漏洞后应立即隔离、评估并修复。建立持续的安全闭环体系是防御此类漏洞的关键。
Elasticsearch 安全与权限管理 详解
csdn_tom_168的博客
08-20 1231
Elasticsearch 安全与权限管理指南 本文详细介绍了 Elasticsearch 生产环境的安全配置方案,涵盖 X-Pack 安全模块启用、用户认证、权限管理等核心内容。主要内容包括: X-Pack 安全模块:基础版免费功能,包括用户认证、角色授权等 用户认证:支持内置用户、LDAP/AD 集成、SAML/OIDC 单点登录 RBAC 权限控制:内置角色使用、自定义角色配置、角色映射 API Key 管理:程序调用推荐方案 传输加密:HTTP 和 Transport 层 TLS 配置 审计日志:安
Forbidden: ServiceAccount ‘monitor-sa‘ RBAC authorizations missing
我是Java程序员廖志伟,感谢朋友们的支持!不定期贡献一篇高品质、过万文字、图文并茂且附有视频解说、满载代码示例注释的良心之作,坚决杜绝粗制乱造。
11-05 400
💡 亲爱的技术伙伴们:你是否正在为这些问题焦虑——✅ 简历投出去杳无音信,明明技术不差却总卡在面试?✅ 每次终面都紧张不已,不知道面试官到底想要什么答案?✅ 技术知识点零零散散,遇到系统设计题就头脑一片空白?🎯这不是普通的面试题汇总,而是凝聚多年面试官经验的。我不仅告诉你答案,更帮你建立面试官的思维模式。🔗🎯 精准人群定位🔥 《》(完整技术体系)🚀⚡🌊🛠️🔒🔄👥🏗️🚀 立即行动,改变从现在开始!🔗不要再让面试成为你职业发展的绊脚石!用时间系统准备,轻松应对各种技术面试场景。💪。
elasticsearchHosts: "https://elasticsearch-master:9200" elasticsearchCertificateSecret: elasticsearch-master-certs elasticsearchCertificateAuthoritiesFile: ca.crt elasticsearchCredentialSecret: elasticsearch-master-credentials kibana为什么会有证书这些的配置
04-01
| `elasticsearchCertificateSecret` | 存储 Elasticsearch 服务端证书(通常为 `tls.crt`)和私钥(`tls.key`),用于双向 TLS 认证。 | 若 Elasticsearch 要求客户端(Kibana)提供证书,则必须配置。 | | `...
语音数据安全传输实战:ESP32+TLS+MQTT集成的4层加密架构设计
!...# 1. 语音数据安全传输的背景与架构概述 随着物联网终端设备在智能家居、工业监测和远程医疗等场景中的...本文提出一种基于ESP32平台的四层安全模型:物理层实现可信采集,传输层通过TLS保障通道安全,应用层采用MQTT
Docker下安装ES和kibana详细教程
yohann1991的博客
12-02 283
最近工作需要,原来把项目日志数据存入mysql,导致mysql宕机,现在想着试试把日志数据存入es中,减轻mysql压力,以下是本人在测试环境的操作过程。下面是详细的步骤,包含创建网络、创建卷、运行 ES 和运行 Kibana。以上就是ES和kibana的安装过程,希望对读者有帮助。
SpringBoot的@Scheduled和@Schedules有什么区别
2509_94189991的博客
11-30 1041
对于更复杂的需求,比如调整线程池大小或者设置线程名称前缀等,你可以通过自定义来进行配置。Spring提供了几种内置的调度器实现,如和。@Override@Override@Override// 自定义异常处理逻辑。
Elastic Stack梳理:深度解析Elasticsearch分布式查询机制与相关性算分优化实践
Wang的专栏
12-02 986
分布式搜索中的Elasticsearch面临查询流程复杂性和相关性算分失真两大挑战。Query-Then-Fetch机制通过两阶段处理:Query阶段各分片独立计算并返回Top N文档,Fetch阶段聚合完整数据。分片本地统计导致BM25算法算分偏差,解决方案包括单分片模式、DFS查询模式(预收集全局统计量)和混合方案。NestJS集成示例展示了基础检索和DFS算分修正的实现。关键点在于分片选择必须覆盖所有ID,深分页需调整参数,DFS模式虽提升算分准确性但增加性能开销。
Canvas架构手记 08 副作用与同步 | 不可变更新 | 调试与错误边界 | ESLint
最新发布
im_AMBER的博客
12-02 836
在分布式系统中,“多客户端同步” 指多个客户端(比如不同用户的浏览器、不同设备)需要共享同一个 “全局状态”(比如聊天房间的消息、协作文档的内容),且任何一个客户端对状态的修改,都要同步到其他所有客户端。你提供的ChatRoom多个用户的ChatRoom组件连接到同一个聊天服务端,需要同步聊天消息、在线状态等。“状态同步契约” 是客户端与服务端(或客户端之间)约定的 “状态同步规则”你的ChatRoom组件通过useEffect。
Elasticsearch 完全指南:原理、优势与应用场景
u011265143的专栏
11-29 1492
Elasticsearch 是一个基于 Apache Lucene 构建的开源、分布式、RESTful 搜索和分析引擎。它是 Elastic Stack(ELK Stack)的核心组件,由 Elastic 公司开发和维护。
Ubuntu 22.04安装ESP-IDF
TOM_00001的博客
11-29 561
说明:本电脑HOME路径为/home/zrt以下是为在Ubuntu 22.04安装设置 ESP-IDF 的具体步骤。
【Git】Git的配置与使用(非常详细)
2302_79323248的博客
12-01 966
本文详细介绍了Git版本控制工具的核心概念、工作流程及常用操作。主要内容包括:Git的基本概念(仓库、工作目录、暂存区等);Git的安装与环境配置步骤;常用命令如初始化仓库、添加文件、提交修改、查看日志等;vi编辑器的基本使用方法;以及Git工作区与暂存区的状态转换机制。文章通过图文结合的方式,帮助读者快速掌握Git的基础操作,适合Git初学者学习参考。
Elasticsearch:在隔离环境中安装 ELSER 模型
Elastic 中国社区官方博客
12-02 619
​在我之前的文章 “Elasticsearch:部署 ELSER - Elastic Learned Sparse EncoderR”,我描述了如何安装 ELSER 模型。在今天的文章中,我来讲讲如何在隔离的环境中安装 ELSER 模型。如果你在有网路的情况下,最容易安装 ELSER 的方法是是使用 inference API。我们可以通过如下的方式来进行。为了测试的方便,我们可以使用如下的方法来删除已经安装好的 ELSER 模型: ​
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乔丹搞IT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值