Controlla e proteggi l'analisi dei dati di registro e di ricerca con il servizio OpenSearch di Amazon

Soddisfa e mantieni i requisiti di sicurezza per l'autenticazione, l'autorizzazione, la crittografia, la verifica e la conformità normativa.

Le soluzioni di analisi create su una grande quantità di dati sono suscettibili in modo particolare ai rischi e alle violazioni relativi alla sicurezza. È necessaria una soluzione di sicurezza e conformità solida con le seguenti funzionalità:

  • Carichi di lavoro con hosting sicuro
  • Accesso protetto e limitato ai dati riservati
  • Integrazione con provider di identità di terze parti
  • Protezione dei dati archiviati e in transito
  • Controllo delle attività degli utenti e degli aggiornamenti delle configurazioni
  • Configurazione dell'accesso programmatico per le applicazioni personalizzate e altri servizi AWS

Argomenti della pagina

Domande frequenti sulla sicurezza
4

Domande frequenti sulla sicurezza

Apri tutto

Il servizio OpenSearch di Amazon presenta molteplici caratteristiche di sicurezza, è idoneo alla normativa HIPAA e conforme agli standard PCI DSS, SOC, ISO e FedRamp, mettendoti in grado di soddisfare le tue esigenze di sicurezza e conformità. L'accesso alle API di gestione del servizio OpenSearch di Amazon per operazioni quali la creazione e il dimensionamento di domini è controllabile con le policy AWS Identity and Access Management (IAM).

I domini del servizio OpenSearch di Amazon possono essere configurati in modo da essere accessibili con un endpoint nel tuo VPC o con uno pubblico accessibile da Internet. L'accesso di rete per gli endpoint VPC è controllabile con gruppi di sicurezza, mentre per endpoint pubblici può essere concesso o limitato tramite indirizzo IP.

Oltre al controllo dell'accesso basato su rete, il servizio OpenSearch di Amazon offre la funzione di autenticazione degli utenti tramite IAM e di autenticazione base utilizzando nome utente e password. L'autorizzazione può essere concessa a livello di dominio (tramite le policy di accesso al dominio) nonché a livello di indice, documento e campo (tramite la caratteristica di controllo dell'accesso a grana fine fornita da OpenSearch). Inoltre, la caratteristica di controllo degli accessi a grana fine estende Pannelli di Controllo OpenSearch e Kibana con visualizzazioni di sola lettura e supporto multi-tenant sicuro.

Amazon OpenSearch Service supporta anche un'integrazione con Amazon Cognito, per permettere agli utenti finali di accedere a Pannelli di Controllo OpenSearch e Kibana tramite provider di identità aziendali come Microsoft Active Directory utilizzando SAML 2.0, bacino di utenti Amazon Cognito e altro ancora. Una volta effettuato l'accesso, Amazon Cognito stabilisce una sessione utilizzando l’entità IAM appropriata, che fornisce l'accesso al dominio Amazon OpenSearch Service. Queste entità IAM sono quindi disponibili per essere utilizzate con la caratteristica di controllo degli accessi granulare fornita da OpenSearch.

In Amazon OpenSearch Service la sicurezza si articola in tre livelli: rete, policy di accesso ai domini e controllo granulare dell'accesso. Il primo livello di sicurezza è la rete, che determina se le richieste raggiungono un dominio. Supportiamo l'accesso pubblico attraverso Internet o l'accesso VPC limitato a specifici gruppi di sicurezza nel tuo VPC. Il secondo livello di sicurezza è la policy di accesso ai domini. Dopo che una richiesta raggiunge un endpoint di un dominio, la policy di accesso ai domini accetta o rifiuta la richiesta di accesso a un dato URL. La policy di accesso ai domini accetta o rifiuta richieste alla periferia del dominio, prima che raggiungano il servizio OpenSearch. Il terzo e finale livello di sicurezza è il controllo granulare dell'accesso. Dopo che una policy di accesso ai domini permette a una richiesta di raggiungere un endpoint del dominio, la funzione di controllo granulare dell'accesso valuta le credenziali dell'utente e lo autentica o rifiuta la richiesta. Se l'utente viene autenticato, la funzione di controllo granulare dell'accesso recupera tutti i ruoli mappati su quell'utente e utilizza il set completo di autorizzazioni per determinare a quali dati l'utente ha accesso.

Sì, il servizio OpenSearch di Amazon supporta la crittografia per i dati inattivi tramite AWS Key Management Service (KMS), la crittografia da nodo a nodo tramite TLS e la capacità di richiedere ai clienti di comunicare tramite HTTPS. La funzione di crittografia per i dati inattivi crittografa shard, file di log, file di swap e snapshot S3 automatici. Puoi usare chiavi gestite da AWS o sceglierne una delle tue. La crittografia da nodo a nodo abilita TLS per tutte le comunicazioni tra nodi. Amazon OpenSearch Service implementa e ruota automaticamente certificati durante la vita del dominio. Se richiedi ai clienti di comunicare tramite HTTPS, puoi anche specificare la versione TLS minima.

Quando l'accesso VPC è abilitato, l'endpoint per Amazon OpenSearch Service è accessibile solo all'interno del VPC del cliente. Per utilizzare il tuo computer portatile per accedere ai pannelli di controllo OpenSearch e Kibana dall'esterno del VPC, è necessario connettere il computer portatile al VPC utilizzando VPN o VPC Direct Connect.