Crittografia dei dati a riposo per il servizio OpenSearch di Amazon - Amazon OpenSearch Service

Crittografia dei dati a riposo per il servizio OpenSearch di Amazon

I domini OpenSearch Service offrono la crittografia dei dati a riposo, una caratteristica di sicurezza che impedisce l'accesso non autorizzato ai dati. La funzionalità utilizza AWS Key Management Service (AWS KMS) per archiviare e gestire le chiavi di crittografia e l'algoritmo Advanced Encryption Standard (AES) con chiavi a 256 bit (AES-256) per eseguire la crittografia. Se abilitata, la funzionalità crittografa gli elementi seguenti di un dominio:

  • Tutti gli indici (compresi quelli in archiviazione UltraWarm)

  • Log OpenSearch

  • File di swap

  • Tutti gli altri dati presenti nella directory dell'applicazione

  • Snapshot automatizzati

Gli elementi seguenti non vengono crittografati quando abiliti la crittografia dei dati a riposo, ma puoi eseguire operazioni aggiuntive per proteggerli:

  • Snapshot manuali: al momento non è possibile utilizzare chiavi AWS KMS per crittografare gli snapshot manuali. Tuttavia, è possibile usare la crittografia lato server con chiavi gestite da S3 o chiavi KMS per crittografare il bucket che si utilizza come repository degli snapshot. Per istruzioni, consultare Registrazione di un repository di snapshot manuali.

  • Log di query lente e di errori: se si pubblicano i log e si desidera crittografarli, è possibile crittografare il relativo gruppo di log di CloudWatch Logs utilizzando la stessa chiave AWS KMS del dominio OpenSearch Service. Per ulteriori informazioni, consultare Crittografia dei dati di registro nei File di log Amazon CloudWatch utilizzando AWS KMS nella Guida per l'utente di Amazon CloudWatch Logs.

OpenSearch Service supporta solo le chiavi KMS di crittografia simmetriche, non quelle asimmetriche. Per informazioni sulla creazione di chiavi simmetriche, consultare Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service.

A prescindere che la crittografia dei dati a riposo sia abilitata o meno, tutti i domini crittografano automaticamente pacchetti personalizzati utilizzando chiavi AES-256 e chiavi gestite dal servizio OpenSearch.

Autorizzazioni

Per utilizzare la console del servizio OpenSearch per configurare la crittografia dei dati a riposo, è necessario disporre di autorizzazioni di sola lettura per AWS KMS, come la policy basata su identità indicata di seguito:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

Per utilizzare una chiave diversa dalla chiave di proprietà AWS, è necessario disporre anche delle autorizzazioni per creare concessioni per la chiave. Queste autorizzazioni generalmente assumono la forma di una policy basata su risorse specificata quando crei la chiave.

Se si desidera mantenere la chiave esclusiva per OpenSearch Service, è possibile aggiungere la condizione kms:ViaService alla policy della chiave:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

Per ulteriori informazioni, consultare Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service.

Abilitazione della crittografia dei dati a riposo

La crittografia dei dati a riposo nei nuovi domini richiede OpenSearch o Elasticsearch 5.1 o versioni successive. L'abilitazione su domini esistenti richiede OpenSearch o Elasticsearch 6.7 o versioni successive.

Come abilitare la crittografia dei dati a riposo (console)

  1. Apri il dominio nella console AWS, quindi scegli Actions (Operazioni), poi Edit security configuration (Modifica configurazione di sicurezza).

  2. In Encryption (Crittografia), seleziona Enable encryption of data at rest (Abilita la crittografia dei dati a riposo).

  3. Scegli una chiave AWS KMS da usare, quindi scegli Save changes (Salva modifiche).

Puoi abilitare la crittografia anche tramite l'API di configurazione. La richiesta seguente abilita la crittografia dei dati a riposo su un dominio esistente:

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

Chiave KMS disabilitata o eliminata

Se disabiliti o elimini la chiave che hai usato per crittografare un dominio, il dominio diventa inaccessibile. OpenSearch Service ti invia una notifica informandoti che non è in grado di accedere alla chiave KMS. Riabilita immediatamente la chiave per accedere al dominio.

Il team OpenSearch Service non potrà aiutarti a ripristinare i dati se la tua chiave è stata eliminata. AWS KMS elimina le chiavi solo dopo un periodo di attesa di almeno sette giorni. Se la tua chiave è in attesa di cancellazione, annulla la cancellazione o prendi uno Snapshot manuale del dominio per evitare la perdita di dati.

Disabilitazione della crittografia dei dati a riposo

Dopo aver configurato un dominio per crittografare i dati a riposo, non puoi disabilitare l'impostazione. Puoi acquisire, invece, uno snapshot manuale del dominio esistente, creare un altro dominio, migrare i dati ed eliminare il vecchio dominio.

Monitoraggio dei domini che crittografano dati a riposo

I domini che crittografano i dati a riposo hanno due parametri aggiuntivi: KMSKeyError e KMSKeyInaccessible. Questi parametri vengono visualizzati solo se il dominio rileva un problema con la chiave di crittografia. Per una descrizione completa di questi parametri, consultare Parametri cluster. Puoi visualizzarli utilizzando la console OpenSearch Service o la console Amazon CloudWatch.

Suggerimento

Poiché ogni parametro rappresenta un problema significativo per un dominio, consigliamo di creare allarmi CloudWatch per entrambi. Per ulteriori informazioni, consultare Allarmi CloudWatch consigliati per Amazon OpenSearch Service.

Altre considerazioni

  • La rotazione automatica delle chiavi permette di mantenere le proprietà delle chiavi AWS KMS e di conseguenza non ha effetto sulla capacità di accedere ai dati OpenSearch. I domini OpenSearch Service crittografati non supportano la rotazione manuale delle chiavi, che comporta la creazione di una nuova chiave e l'aggiornamento di tutti i riferimenti alla chiave precedente. Per ulteriori informazioni, consultare Rotazione delle chiavi nella Guida per gli sviluppatori di AWS Key Management Service.

  • Alcuni tipi di istanza non supportano la crittografia dei dati a riposo. Per dettagli, consultare Tipi di istanza supportati nel servizio OpenSearch di Amazon.

  • I domini che crittografano i dati a riposo usano un nome di repository diverso per i propri snapshot automatici. Per ulteriori informazioni, consultare Ripristino di snapshot.

  • Anche se consigliamo vivamente di abilitare la crittografia dei dati a riposo, questa potrebbe aggiungere un sovraccarico aggiuntivo della CPU e alcuni millisecondi di latenza. Tuttavia, la maggior parte dei casi d'uso non è sensibile a queste differenze e l'entità dell'impatto dipende dalla configurazione del cluster, dei client e del profilo di utilizzo.