Audite e proteja seus dados de pesquisa e de análise de logs com o Amazon OpenSearch Service

Cumpra e mantenha seus requisitos de segurança para autenticação, autorização, criptografia, auditoria e conformidade regulatória.

As soluções de análise baseadas em grandes volumes de dados são especialmente suscetíveis a riscos e violações de segurança. É necessária uma solução robusta de segurança e conformidade que tenha estes recursos:

  • Hospedar com segurança workloads sigilosas
  • Proteger e limitar o acesso a dados confidenciais
  • Integrar-se a prestadores de serviço de identidade externos
  • Proteger dados em repouso e em trânsito
  • Auditar a atividade do usuário e as atualizações das configurações
  • Configurar o acesso programático para seus aplicativos personalizados e outros produtos da AWS

Tópicos da página

Perguntas frequentes sobre segurança
4

Perguntas frequentes sobre segurança

Abrir tudo

O Amazon OpenSearch Service fornece vários recursos de segurança, é elegível para HIPAA e compatível com os padrões PCI DSS, SOC, ISO e FedRamp, para poder atender às suas necessidades de segurança e de conformidade. O acesso às APIs de gerenciamento do Amazon OpenSearch Service para operações como criação e escalabilidade de domínios é controlado com políticas do AWS Identity and Access Management (IAM).

Os domínios do Amazon OpenSearch Service podem ser configurados para serem acessíveis com um endpoint no VPC ou com um endpoint público acessível à Internet. O acesso à rede para VPC endpoints é controlado com grupos de segurança e, para endpoints públicos, o acesso pode ser concedido ou restringido pelo endereço IP.

Além do controle de acesso baseado na rede, o Amazon OpenSearch Service fornece autenticação de usuário via IAM e autenticação básica usando nome de usuário e senha. A autorização pode ser concedida no nível do domínio (via Políticas de acesso ao domínio), bem como no nível do índice, documento e campo (com o recurso de controle de acesso detalhado desenvolvido pelo OpenSearch). Além disso, o recurso de controle de acesso detalhado estende o OpenSearch Dashboards e o Kibana com visualizações somente leitura e suporte seguro a vários locatários.

O Amazon OpenSearch Service também oferece suporte à integração com o Amazon Cognito, para permitir que os usuários finais façam login no OpenSearch Dashboards e no Kibana por meio de provedores de identidade corporativos, como o Microsoft Active Directory usando SAML 2.0, grupos de usuários do Amazon Cognito e muito mais. Depois de fazer login, o Amazon Cognito estabelece uma sessão usando a entidade principal apropriada do IAM, que oferece acesso ao domínio do Amazon OpenSearch Service. Essas entidades principais do IAM estão disponíveis para uso com o recurso de controle de acesso detalhado desenvolvido pelo OpenSearch.

A segurança do Amazon OpenSearch Service possui três camadas principais: rede, políticas de acesso ao domínio e controle de acesso detalhado. A primeira camada de segurança é a rede, que determina se as solicitações atingem um domínio. Oferecemos o acesso público via internet ou acesso de VPC limitado a grupos de segurança específicos em seu VPC. A política de acesso ao domínio é a segunda camada de segurança. Depois que uma solicitação atinge um endpoint do domínio, a Política de acesso ao domínio permite ou nega o acesso à solicitação para um determinado URL. A Política de acesso ao domínio aceita ou rejeita solicitações na borda do domínio, antes que elas cheguem ao próprio OpenSearch. A terceira e última camada de segurança é o controle de acesso detalhado. Depois que uma Política de Acesso ao Domínio permite que uma solicitação alcance um endpoint do domínio, o controle de acesso minucioso avalia as credenciais do usuário e autentica o usuário ou nega a solicitação. Se o controle de acesso detalhado autenticar o usuário, ele buscará todas as funções mapeadas para esse usuário e usará o conjunto completo de permissões para determinar a quais dados o usuário tem acesso.

Sim, o Amazon OpenSearch Service oferece suporte à criptografia em repouso por meio do AWS Key Management Service (KMS), criptografia nó a nó por TLS e a capacidade de exigir que os clientes se comuniquem por HTTPS. A criptografia de dados em repouso criptografa fragmentos, arquivos de log, arquivos de troca e snapshots do S3 automáticos. Você pode usar chaves gerenciadas pela AWS ou escolher uma de sua preferência. A criptografia nó a nó habilita o TLS para todas as comunicações entre os nós. O Amazon OpenSearch Service implanta e alterna certificados automaticamente ao longo da vida útil do domínio. Se precisar que seus clientes se comuniquem por HTTPS, também poderá especificar a versão mínima do TLS.

Quando o acesso à VPC é habilitado, o endpoint do Amazon OpenSearch Service somente pode ser acessado na VPC do cliente. Para usar o laptop para acessar o OpenSearch Dashboards e o Kibana de fora da VPC, é necessário conectá-lo à VPC usando uma VPN ou o Direct Connect da VPC.