我想知道从浏览器端访问时人们通常如何保护自己的elasticsearch API?
如果我们从服务器端访问弹性服务器,那么即使是一个简单的DELETE请求也足以删除可能包含无价信息的整个索引。
我已经了解到他们为付费服务提供RBAC(仍处于测试阶段),但是要确保获得elasticsearch社区版的最佳实践是什么?
答案 0 :(得分:2)
要在没有付费许可证的情况下保护Elasticsearch,您可以:
使用第三方插件
有一些第三方插件可以为Elasticsearch提供某种程度的安全性,Search Guard似乎是最常用的插件。
代理Web服务器
您可以使用网络服务器向API端点提供基本身份验证。
防火墙规则
使用网络和Elasticsearch服务器上的防火墙规则来限制谁可以访问您的集群以及他们可以从何处访问。
答案 1 :(得分:1)
必须具有Gold或Platinum订阅,或者具有trial license。
之后,您必须在Elasticsearch上启用xpack安全性和配置ssl/tls
有关更多信息,请点击下面的链接
Elasticsearch Security: Configure TLS/SSL & PKI Authentication
答案 2 :(得分:1)