Рекомендации по защите ElasticSearch и Couchbase

Question

Я экспериментировал с попыткой защитить кластер Elasticsearch с базовым auth и TLS.

Я успешно смог это сделать с помощью Search-Guard. Проблема возникает с Couchbase XDCR в Elasticsearch.

Я использую плагин под названием elasticsearch-transport-couchbase, который отлично работает без TLS и Basic Auth, включенных в кластере Elasticsearch. Но когда вы разрешаете это с помощью Search-Guard, я не могу выполнить эту работу.

Насколько я могу судить, проблема связана с плагином elasticsearch-transport-couchbase. Это также обсуждалось ранее в некоторых вопросах на их Github repo.

Это также единственный плагин, который я могу найти, который можно использовать для XDCR от Couchbase.

Мне любопытно узнать о других опытах с этим. Кто-нибудь, кто был в той же ситуации, что и я, и смог настроить XDCR от Couchbase до Elasticsearch с помощью TLS?

Возможно, есть еще несколько подходящих инструментов, которые я могу использовать, которые я пропустил?

Answer 1

Платформа Couchbase для транспорта не поддерживает XDCR TLS, но она находится в дорожной карте, но скоро этого не произойдет. Search-guard добавляет SSL к конечной точке HTTP/REST в ES, но плагин открывает свою собственную конечную точку (по умолчанию порт 9091), которую Search-guard не касается. Я посмотрю, можно ли расширить защиту поиска, чтобы применить к транспортному плагину - основная проблема заключается в стороне Couchbase XDCR, которая не ожидает SSL на конечной точке назначения.

Answer 2

Небольшое обновление. Мы пошли вокруг вопроса, установив stunnel с xinetd. Таким образом, всякое общение с ELS должно пройти через stunnel, где TLS прекратится.

Мы заблокировали доступ к порту 9200 и ограничили 9091 хостом кластера Couchbase и 9300 только для других узлов ELS.

Кажется, хорошо работает.