Audit et sécurisation de vos données analytiques de journaux et de recherche avec HAQM OpenSearch Service

Respectez et maintenez vos exigences de sécurité pour l'authentification, l'autorisation, le chiffrement, l'audit et la conformité aux réglementations.

Les solutions d'analytique reposant sur de grandes quantités de données sont particulièrement exposées aux risques de sécurité et aux violations. Vous avez besoin d'une solution de sécurité et de conformité robuste dotée des fonctionnalités suivantes :

  • Hébergement des charges de travail sensibles en toute confiance
  • Protection et limitation de l'accès aux données confidentielles
  • Intégration aux fournisseurs d'identité tiers
  • Protection des données au repos et en transit
  • Audit de l'activité des utilisateurs et des mises à jour de la configuration
  • Configuration de l'accès par programmation pour vos applications personnalisées et d'autres services AWS

Page Topics

Principales fonctionnalités de sécurité d'OpenSearch

Principales fonctionnalités de sécurité d'OpenSearch

Open all

Assurez un accès sécurisé à vos utilisateurs, en utilisant les méthodes d'authentification et d'autorisation de votre choix, y compris la prise en charge native de SAML, AWS Cognito, AWS IAM, etc. Pour plus d’informations, veuillez consulter les rubriques Utilisation de SAML avec Dashboards et Gestion des identités et des accès.

Protégez vos données contre les pirates en permettant le chiffrement des données sur disque, des fichiers journaux et des instantanés automatiques à l’aide de clés AWS Key Management Service (KMS) de niveau militaire AES-256. Cryptez les données en transit entre les nœuds à l'aide de TLS 1.2.

Utilisez une ou plusieurs fonctionnalités de contrôle d'accès comme les politiques AWS IAM ou le contrôle précis des accès pour fournir aux utilisateurs un moyen contrôlé et prévisible d'interroger les données métier et de surveiller la configuration du cluster.

Sécurisez le périmètre de votre domaine à l'aide de stratégies d'identité et de ressources AWS pour associer les identités et les ressources à des actions spécifiques d'autorisation/de refus. Créez des réseaux logiquement isolés à l’aide d’un HAQM Virtual Private Cloud (VPC) et des groupes de sécurité HAQM VPC pour n’autoriser le trafic qu’à partir d’entités connues.

Surveillez les modifications apportées à la configuration de votre domaine, suivez l'activité des utilisateurs et contrôlez les demandes de données, y compris les attributs de connexion détaillés. Utilisez la journalisation AWS CloudTrail et les journaux d'audit OpenSearch pour surveiller l'utilisation des API de configuration et les demandes adressées à vos données.

Protégez vos données contre les failles de sécurité. Pour minimiser le besoin de mises à niveau de versions, OpenSearch Service fournit des correctifs de sécurité et des mises à niveau rétrocompatibles pour toutes les versions prises en charge d’OpenSearch.

Sécurisez l'accès à vos données sensibles ou confidentielles à l'aide de contrôles de sécurité avancés. Utilisez la sécurité au niveau des index, des documents ou des champs pour en limiter l'accès.

Communiquez en toute sécurité avec votre domaine OpenSearch en utilisant des requêtes signées Sigv4 envoyées à l'aide de kits SDK AWS ou de l'interface de ligne de commande (CLI) AWS.

Répondez aux exigences strictes de conformité et de gouvernance de votre organisation. HAQM OpenSearch Service fait partie de plusieurs programmes de conformité aux normes du secteur, notamment HIPAA, FedRAMP, DoD CC SRG, SOC, PCI, ISO et CSA STAR et FIPS 140-2.

Collectez des journaux provenant de différentes sources avec différents formats, normalisez et comparez les données des journaux de sécurité.

Sujets de la page

FAQ sur la sécurité
4

FAQ sur la sécurité

Ouvrir tout

Les multiples fonctions de sécurité d'HAQM OpenSearch Service, son éligibilité à HIPAA et sa conformité aux normes PCI DSS, SOC, ISO et FedRamp en font la solution idéale pour atteindre vos objectifs de sécurité et de conformité. Pour des opérations telles que la création et le redimensionnement de domaines, l'accès aux API de gestion d'HAQM OpenSearch Service est contrôlé au moyen des politiques AWS Identity and Access Management (IAM).

Il est possible de configurer les domaines HAQM OpenSearch Service pour qu'ils soient accessibles à partir d'un point de terminaison situé dans votre VPC ou d'un point de terminaison public accessible à Internet. L'accès au réseau pour les points de terminaison d'un VPC est contrôlé par des groupes de sécurité. Quant aux points de terminaison publics, l'accès peut être accordé ou limité par l'adresse IP.

Au-delà du contrôle d'accès via le réseau, HAQM OpenSearch Service fournit une authentification de l'utilisateur via IAM et une authentification de base utilisant un nom d'utilisateur et un mot de passe. L'autorisation peut être accordée au niveau du domaine (via les politiques d'accès au domaine) ainsi qu'au niveau de l'index, du document et du champ (via la fonction de contrôle d'accès précis à technologie OpenSearch). OpenSearch Dashboards et Kibana sont également dotés de cette fonction de contrôle d'accès précis pour des vues en lecture seule et un support mutualisé sécurisé.

HAQM OpenSearch Service prend également en charge une intégration avec HAQM Cognito dont le rôle est de permettre à vos utilisateurs finaux de se connecter à OpenSearch Dashboards et à Kibana par l'intermédiaire de fournisseurs d'identité d'entreprise comme que Microsoft Active Directory en utilisant SAML 2.0, les groupes d'utilisateurs HAQM Cognito, etc. Une fois connecté, HAQM Cognito établit une session à l'aide du mandataire IAM approprié, ce qui permet d'accéder au domaine HAQM OpenSearch Service. Ces mandataires IAM sont ensuite disponibles pour utilisation avec la fonction de contrôle d'accès précis à technologie OpenSearch.

La sécurité d'HAQM OpenSearch Service comporte trois couches principales notamment le réseau, les politiques d'accès au domaine et un contrôle d'accès précis. Le réseau constitue la première couche de sécurité. Il décide si les demandes doivent être acheminées ou non jusqu'à un domaine. Nous prenons en charge l'accès public via Internet ou l'accès VPC limité à des groupes de sécurité spécifiques dans votre VPC. La politique d'accès au domaine est la deuxième couche de sécurité. Lorsqu'une demande atteint le point de terminaison d'un domaine, la politique d'accès au domaine autorise ou refuse l'accès de la demande à une URL donnée. La stratégie d’accès au domaine accepte ou rejette les demandes à la périphérie du domaine bien avant qu’elles n’atteignent OpenSearch lui-même. La troisième et dernière couche de sécurité est un contrôle d'accès précis. Une fois qu'une politique d'accès au domaine permet à une demande d'atteindre le point de terminaison d'un domaine, un contrôle d'accès précis évalue les références de l'utilisateur, puis authentifie ce dernier ou rejette la demande. Si un contrôle d'accès précis authentifie l'utilisateur, il récupère tous les rôles attribués à cet utilisateur et utilise l'ensemble complet des autorisations pour définir les données auxquelles l'utilisateur a accès.

Oui. HAQM OpenSearch Service prend en charge le chiffrement au repos via AWS Key Management Service (KMS), le chiffrement de nœud à nœud via TLS et la possibilité d'exiger des clients qu'ils communiquent par HTTPS. Le chiffrement au repos permet de chiffrer les partitions, les fichiers journaux, les fichiers d'échange et les instantanés S3 automatisés. Vous pouvez utiliser des clés gérées par AWS ou choisir une de vos propres clés. Le chiffrement nœud à nœud active Transport Layer Security (TLS) pour toutes les communications entre les nœuds. HAQM OpenSearch Service déploie et change automatiquement les certificats pendant toute la durée de vie du domaine. Si vos clients doivent communiquer par HTTPS, vous avez également la possibilité de spécifier la version TLS minimale.

Quand un accès VPC est activé, le point de terminaison pour HAQM OpenSearch Service est uniquement accessible au sein du VPC client. Si vous désirez utiliser votre ordinateur portable pour accéder à OpenSearch Dashboards et à Kibana en dehors de votre VPC, vous devez connecter l'ordinateur portable au VPC via un VPN ou Direct Connect.