Audite e proteja seus dados de pesquisa e de análise de logs com o Amazon OpenSearch Service

Cumpra e mantenha seus requisitos de segurança para autenticação, autorização, criptografia, auditoria e conformidade regulatória.

As soluções de análise baseadas em grandes volumes de dados são especialmente suscetíveis a riscos e violações de segurança. É necessária uma solução robusta de segurança e conformidade que tenha estes recursos:

  • Hospedar com segurança workloads sigilosas
  • Proteger e limitar o acesso a dados confidenciais
  • Integrar-se a prestadores de serviço de identidade externos
  • Proteger dados em repouso e em trânsito
  • Auditar a atividade do usuário e as atualizações das configurações
  • Configurar o acesso programático para seus aplicativos personalizados e outros produtos da AWS

Principais recursos de segurança do OpenSearch

Forneça acesso protegido aos seus usuários, por meio dos métodos de autenticação e autorização de sua preferência, incluindo suporte nativo ao SAML, ao AWS Cognito, ao AWS IAM e outros. Para obter mais informações, consulte como usar SAML com painéis e Gerenciamento de identidade e acesso.

Proteja seus dados contra invasores habilitando criptografia de dados em disco, arquivos de log e snapshots automáticos usando chaves AES-256 de nível militar do AWS Key Management Service (KMS). Criptografe dados em trânsito entre nós usando TLS 1.2.

Use um ou mais recursos de controle de acesso, como políticas do AWS IAM ou controles de acesso detalhado, para fornecer aos usuários uma maneira controlada e previsível de consultar dados de negócios e monitorar a configuração dos clusters.

Proteja o perímetro do seu domínio usando políticas de identidade e recursos da AWS para associar identidades e recursos a ações específicas de permitir/negar. Crie redes logicamente isoladas usando uma Amazon Virtual Private Cloud (VPC) e grupos de segurança da Amazon VPC para permitir o tráfego somente de entidades conhecidas.

Monitore mudanças nas configurações do seu domínio, rastreie atividades de usuários e audite solicitações de dados, incluindo atributos detalhados de conexão. Use registros em log do AWS CloudTrail e logs de auditoria do OpenSearch para monitorar o uso de APIs e solicitações de configuração para seus dados.

Proteja seus dados contra vulnerabilidades de segurança. Para minimizar a necessidade de upgrades de versões, o OpenSearch Service fornece patches de segurança e upgrades compatíveis com versões anteriores para todas as versões compatíveis do OpenSearch e do Elasticsearch.

Assegure o acesso aos seus dados sigilosos ou confidenciais usando controles de segurança avançados. Use segurança em nível de índice, documento ou campo para limitar o acesso a índices, documentos ou campos específicos.

Comunique-se com segurança com seu domínio do OpenSearch usando solicitações assinadas Sigv4 enviadas por meio de SDKs da AWS ou da AWS Command Line Interface (AWS CLI).

Cumpra os requisitos rigorosos de conformidade e governança da sua organização. O Amazon OpenSearch Service é parte de diversos programas de conformidade padrão do setor, incluindo HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO & CSA STAR, FIPS 140-2.

Colete registros de diferentes fontes com formatos diferentes, normalize e compare dados de log de segurança.

Perguntas frequentes sobre segurança

O Amazon OpenSearch Service fornece vários recursos de segurança, é elegível para HIPAA e compatível com os padrões PCI DSS, SOC, ISO e FedRamp, para poder atender às suas necessidades de segurança e de conformidade. O acesso às APIs de gerenciamento do Amazon OpenSearch Service para operações como criação e escalabilidade de domínios é controlado com políticas do AWS Identity and Access Management (IAM).

Os domínios do Amazon OpenSearch Service podem ser configurados para serem acessíveis com um endpoint no VPC ou com um endpoint público acessível à Internet. O acesso à rede para VPC endpoints é controlado com grupos de segurança e, para endpoints públicos, o acesso pode ser concedido ou restringido pelo endereço IP.

Além do controle de acesso baseado na rede, o Amazon OpenSearch Service fornece autenticação de usuário via IAM e autenticação básica usando nome de usuário e senha. A autorização pode ser concedida no nível do domínio (via Políticas de acesso ao domínio), bem como no nível do índice, documento e campo (com o recurso de controle de acesso detalhado desenvolvido pelo OpenSearch). Além disso, o recurso de controle de acesso detalhado estende o OpenSearch Dashboards e o Kibana com visualizações somente leitura e suporte seguro a vários locatários.

O Amazon OpenSearch Service também oferece suporte à integração com o Amazon Cognito, para permitir que os usuários finais façam login no OpenSearch Dashboards e no Kibana por meio de provedores de identidade corporativos, como o Microsoft Active Directory usando SAML 2.0, grupos de usuários do Amazon Cognito e muito mais. Depois de fazer login, o Amazon Cognito estabelece uma sessão usando a entidade principal apropriada do IAM, que oferece acesso ao domínio do Amazon OpenSearch Service. Essas entidades principais do IAM estão disponíveis para uso com o recurso de controle de acesso detalhado desenvolvido pelo OpenSearch.

A segurança do Amazon OpenSearch Service possui três camadas principais: rede, políticas de acesso ao domínio e controle de acesso detalhado. A primeira camada de segurança é a rede, que determina se as solicitações atingem um domínio. Oferecemos o acesso público via internet ou acesso de VPC limitado a grupos de segurança específicos em seu VPC. A política de acesso ao domínio é a segunda camada de segurança. Depois que uma solicitação atinge um endpoint do domínio, a Política de acesso ao domínio permite ou nega o acesso à solicitação para um determinado URL. A Política de acesso ao domínio aceita ou rejeita solicitações na borda do domínio, antes que elas atinjam o próprio OpenSearch/Elasticsearch. A terceira e última camada de segurança é o controle de acesso detalhado. Depois que uma Política de Acesso ao Domínio permite que uma solicitação alcance um endpoint do domínio, o controle de acesso minucioso avalia as credenciais do usuário e autentica o usuário ou nega a solicitação. Se o controle de acesso detalhado autenticar o usuário, ele buscará todas as funções mapeadas para esse usuário e usará o conjunto completo de permissões para determinar a quais dados o usuário tem acesso.

Sim, o Amazon OpenSearch Service oferece suporte à criptografia em repouso por meio do AWS Key Management Service (KMS), criptografia nó a nó por TLS e a capacidade de exigir que os clientes se comuniquem por HTTPS. A criptografia de dados em repouso criptografa fragmentos, arquivos de log, arquivos de troca e snapshots do S3 automáticos. Você pode usar chaves gerenciadas pela AWS ou escolher uma de sua preferência. A criptografia nó a nó habilita o TLS para todas as comunicações entre os nós. O Amazon OpenSearch Service implanta e alterna certificados automaticamente ao longo da vida útil do domínio. Se precisar que seus clientes se comuniquem por HTTPS, também poderá especificar a versão mínima do TLS.

Quando o acesso à VPC é habilitado, o endpoint do Amazon OpenSearch Service somente pode ser acessado na VPC do cliente. Para usar o laptop para acessar o OpenSearch Dashboards e o Kibana de fora da VPC, é necessário conectá-lo à VPC usando uma VPN ou o Direct Connect da VPC.