Criptografia de dados em repouso para o Amazon OpenSearch Service - Amazon OpenSearch Service

Criptografia de dados em repouso para o Amazon OpenSearch Service

Os domínios do OpenSearch Service oferecem criptografia de dados em repouso, um recurso de segurança que ajuda a impedir o acesso não autorizado aos seus dados. O recurso usa o AWS Key Management Service (AWS KMS) para armazenar e gerenciar suas chaves de criptografia e o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256) para executar a criptografia. Se habilitado, o recurso criptografa os seguintes aspectos de um domínio:

  • Todos os índices (incluindo aqueles no armazenamento UltraWarm)

  • Logs do OpenSearch

  • Arquivos de troca

  • Todos os outros dados no diretório da aplicação

  • Snapshots automatizados

Os seguintes itens não são criptografados quando você ativa a criptografia de dados em repouso, mas você pode executar etapas adicionais para protegê-los:

  • Snapshots manuais: no momento, não é possível usar chaves do AWS KMS para criptografar snapshots manuais. No entanto, você pode usar a criptografia no lado do servidor com chaves gerenciadas pelo S3 ou chaves do KMS para criptografar o bucket que você usa como repositório de snapshots. Para obter instruções, consulte Registro de um repositório de snapshots manuais.

  • Logs de lentidão e erro: se você publica logs e deseja criptografá-los, criptografe seu grupo de logs do CloudWatch Logs usando a mesma chave do AWS KMS usada pelo domínio do OpenSearch Service. Para obter mais informações, consulte Criptografia de dados de log no CloudWatch Logs usando o AWS KMS no Manual do usuário do Amazon CloudWatch Logs.

O OpenSearch Service só é compatível com chaves do KMS de criptografia simétrica, não sendo compatível com as assimétricas. Para aprender a criar chaves simétricas, consulte Criação de chaves no Guia do desenvolvedor do AWS Key Management Service.

Independentemente de a criptografia em repouso estar habilitada, todos os domínios criptografam automaticamente pacotes personalizados usando AES-256 e chaves gerenciadas pelo OpenSearch Service.

Permissões

Para usar o console do OpenSearch Service para criar um domínio que criptografa dados em repouso, você deve ter permissões de leitura para o AWS KMS, como a seguinte política baseada em identidade:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:List*", "kms:Describe*" ], "Resource": "*" } ] }

Se você quiser usar uma chave diferente da chave pertencente à AWS, também deverá ter permissões para criar concessões para a chave. Essas permissões normalmente assumem a forma de uma política baseada em recursos que você especifica ao criar a chave.

Se você quiser manter sua chave exclusiva no OpenSearch Service, poderá adicionar a condição kms:ViaService à política principal:

"Condition": { "StringEquals": { "kms:ViaService": "es.us-west-1.amazonaws.com" }, "Bool": { "kms:GrantIsForAWSResource": "true" } }

Para obter mais informações, consulte Como usar políticas de chaves no AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

Ativação da criptografia de dados em repouso

A criptografia de dados em repouso em novos domínios requer o OpenSearch ou o Elasticsearch 5.1 ou posterior. Habilitá-la em domínios existentes requer OpenSearch ou Elasticsearch 6.7 ou superior.

Para habilitar a criptografia de dados em repouso (console)

  1. Abra o domínio existente no console da AWS, em seguida escolha Actions (Ações) e Edit security configuration (Editar configuração de segurança).

  2. Em Encryption (Criptografia), selecione Enable encryption of data at rest (Habilitar criptografia de dados em repouso).

  3. Escolha uma chave do AWS KMS para usar, em seguida escolha Save changes (Salvar alterações).

Também é possível habilitar a criptografia por meio da API de configuração. A solicitação a seguir permite a criptografia de dados em repouso em um domínio existente:

{ "ClusterConfig":{ "EncryptionAtRestOptions":{ "Enabled": true, "KmsKeyId":"arn:aws:kms:us-east-1:123456789012:alias/my-key" } } }

A chave do KMS foi desabilitada ou excluída

Se você desabilitar ou excluir a chave usada para criptografar um domínio, este ficará inacessível. O OpenSearch Service envia para você uma notificaçãoinformando que ele não pode acessar a chave do KMS. Habilite novamente a chave imediatamente para acessar o seu domínio.

Se a sua chave for excluída, a equipe do OpenSearch Service não poderá ajudar a recuperar os seus dados. O AWS KMS só exclui chaves depois de um período de espera de pelo menos sete dias. Se a exclusão da sua chave estiver pendente, cancele-a ou tire um snapshot manual do domínio para evitar a perda de dados.

Desativação da criptografia de dados em repouso

Depois de configurar um domínio para criptografar dados em repouso, você não pode desativar a configuração. Em vez disso, você pode tirar um snapshot manual do domínio existente, criar outro domínio, migrar seus dados e excluir o domínio anterior.

Monitoramento de domínios que criptografam dados em repouso

Domínios que criptografam dados em repouso têm duas métricas adicionais: KMSKeyError e KMSKeyInaccessible. Essas métricas serão exibidas somente se o domínio encontrar um problema com sua chave de criptografia. Para obter descrições completas dessas métricas, consulte Métricas de cluster. É possível visualizá-los usando o console do OpenSearch Service ou o console do Amazon CloudWatch.

dica

Cada métrica representa um problema significativo de um domínio, portanto, recomendamos criar alarmes do CloudWatch para ambas. Para mais informações, consulte Alarmes recomendados do CloudWatch para Amazon OpenSearch Service.

Outras considerações

  • A mudança de chaves automática preserva as propriedades de suas chaves do AWS KMS e, portanto, a rotação não afeta sua capacidade de acessar os dados do OpenSearch. Os domínios criptografados do OpenSearch Service não oferecem suporte à rotação de chaves manual, o que envolve a criação de uma nova chave e a atualização das referências à chave antiga. Para saber mais, consulte Rotação de chaves no Guia do desenvolvedor do AWS Key Management Service.

  • Certos tipos de instâncias não oferecem suporte à criptografia de dados em repouso. Para obter mais detalhes, consulte Tipos de instância compatíveis com o Amazon OpenSearch Service.

  • Domínios que criptografam dados em repouso usam outro nome de repositório para seus snapshots automatizados. Para mais informações, consulte Restauração de snapshots.

  • Embora seja altamente recomendável habilitar a criptografia em repouso, esse recurso pode adicionar sobrecarga adicional à CPU e acrescentar alguns milissegundos de latência. Contudo, a maioria dos casos de uso não é afetada por essas diferenças, e a magnitude do impacto depende da configuração do cluster, dos clientes e do perfil de uso.