Aiven for OpenSearch® introduces advanced security featuresの翻訳です。
2023年9月6日
Aiven for OpenSearch® が高度なセキュリティ機能を導入
Aiven for OpenSearch®は、SSO認証、ロールベースのアクセスコントロール、監査ログ、マルチテナント・ダッシュボードを備えたOpenSearch Securityを搭載しました。
認証、認可、監査(AAA)は、堅牢なセキュリティフレームワークの基盤であり、ユーザーアクセスの制御、ポリシーの実施、リソースの使用状況の監視を担います。Aivenでは、これらの機能がお客様の環境を保護する上で重要な役割を果たすことを理解しています。シングルサインオン認証、ロールベースのアクセス制御、監査ロギングなど、Aiven for OpenSearch®のOpenSearch Securityの展開を発表できることを嬉しく思います。
このリリースに伴い、既存のAiven for OpenSearch®のお客様は設定を変更する必要はありません。OpenSearch Securityはオプトイン機能です。
OpenSearch Security の使用例
OpenSearchセキュリティは、集中的なID管理や規制責任を持つ組織にとって特に興味深いものです。OpenSearch Securityを有効にすることで、お客様は既存のアクセスコントロールをAiven for OpenSearchと統合することができます。これは、アクセスの一元化を支援するだけでなく、OktaやAWSなどのプロバイダーで定義されたアクセス許可をAivenのロールに関連付けることで、各部門の関係者が必要なデータにのみ自動的にアクセスできるようにし、各チーム固有の要件に対応したマルチテナント・ダッシュボードを提供します。
監査ログは、これらの管理が適切に実施されているかどうかをフィードバックします。ログインに失敗したり、許可されていないコンテンツにアクセスしようとしたユーザーなどのイベントが記録され、保存されます。顧客はこれらのログをさらにカスタマイズして、エッジケースをフィルタリングしたり、規制遵守のための拡張ログを有効にしたりすることができる。結果は視覚化され、傾向や異常値を一目で明らかにすることができます。
以下のセクションでは、個々の機能の詳細を説明し、役立つリソースへのリンクを提供します。
OpenSearch シングルサインオン (SSO) 認証
これまで、Aiven for OpenSearch のユーザーは、OpenSearch サーバーに対する認証のために、ローカルに保存された認証情報 (ユーザー名/パスワード) に依存していました。本日、[SAML / OIDCプロトコルを使用したシングルサインオン(SSO)による集中型ユーザー認証の新機能をご紹介します。この統合により、認証に一元化されたアイデンティティとアクセス管理 (IAM) ソリューションを使用することができ、ユーザ管理とアクセス制御を簡素化することができます。
SSO では、ユーザは IAM プロバイダで直接認証されます。ユーザは OpenSearch のロールにマッピングされ、OpenSearch のリソースやデータへのシームレスなアクセス管理が可能になります。サポートされている IAM プロバイダーには、Okta、Auth0、OneLogin があります。
OpenSearch におけるきめ細かいロールベースのアクセス制御 (RBAC)
Aiven for OpenSearchのアクセスコントロール機能強化により、あらゆるAiven for OpenSearchリソースに対してきめ細かなロールベースアクセスコントロール(RBAC)を提供し、セキュリティを次のレベルに引き上げます。このきめ細かな制御レベルにより、アクセス要件の異なるチーム間で効率的にセキュリティポリシーを実施することができます。さらに、SAMLおよびOIDCユーザーは、ロールマッピングを使用してAiven for OpenSearch RBACを既存のアクセス制御定義に結び付けることができます。
きめ細かなアクセス制御の主な機能は以下のとおりです:
- 役割ベースのクラスターレベルのアクセス制御
- 役割ベースのインデックス・レベルのアクセス制御
- 包括的なユーザー、ロール、権限管理
- 文書レベルのセキュリティ
- フィールド・レベルのセキュリティ
- REST 管理 API のセキュリティ
セキュリティとコンプライアンスを強化する監査ログ
セキュアな環境を維持するには、ユーザーの行動を完全に可視化する必要があります。Aivenは包括的な監査ログを提供します。監査ログは、Aiven for OpenSearch内のすべてのユーザーアクションを監視し、コンプライアンス目的のための貴重な洞察を提供し、セキュリティ侵害後の調査を容易にします。さらに、これらのログはOpenSearchの潜在的な問題のデバッグとトラブルシューティングを簡素化します。
監査ログは完全にカスタマイズ可能で、以下のような様々なユーザーの行動を追跡することができます:
- 認証の成功と失敗
- OpenSearch へのリクエスト
- インデックスの変更
- 検索クエリの受信
監査ログは、同じAiven for OpenSearchクラスタ内のOpenSearchインデックスに安全に保存されます。
柔軟なマルチテナントのOpenSearchダッシュボード
私たちは、チームによってデータの可視化に対する要件が異なることを認識しており、マルチテナントのOpenSearchダッシュボードを導入しています。チームごとに異なるダッシュボードとビジュアライゼーションを設定できるようになり、シームレスでパーソナライズされたエクスペリエンスが保証されます。
OpenSearch Dashboards のテナントは、インデックスパターン、ビジュアライゼーション、ダッシュボードを保存するための専用スペースとして機能します。各テナントのユーザー権限とロール権限を完全に制御できるため、必要に応じてアクセス権限を調整できます。
たとえば、自分自身の探索作業用のダッシュボード、チーム内の詳細な分析用ダッシュボード、企業幹部用のサマリーダッシュボードを作成できます。また、各顧客に個別のダッシュボードを提供し、OpenSearchのロールを使用してアクセスを安全に管理することもできます。
##始めるには
Aiven for OpenSearchでOpenSearchセキュリティを有効にするには、Aiven ConsoleでOpenSearchサービスに移動し、[Users]タブをクリックします。[Enable OpenSearch Security] オプションを選択します。また、セキュリティを管理するための OpenSearch Security Admin ユーザを作成する必要があります。一度有効にすると、自分でこの機能を無効にできないことに注意してください。この機能を無効にする必要がある場合は、サポートチームに連絡してください.
SSO統合を設定するには、Aivenのコンソール、CLI、またはAPIを使用できます。RBAC、監査ログ、および OpenSearch Dashboards のマルチテナントは、OpenSearch Dashboards で設定します。この方法の詳細については、OpenSearch セキュリティドキュメント を参照してください。
互換性情報
OpenSearch Security が有効な場合、OpenSearch のユーザー、ロール、アクセス制御リストは、Aiven プラットフォームではなく、OpenSearch 自体が管理します。そのため、Aiven のコンソール、CLI、API、Aiven の Terraform プロバイダを使用してこれらのリソースを管理することはできません。代わりに、OpenSearch Security DashboardまたはOpenSearch Security APIを介して変更を行います。詳細については、OpenSearch® セキュリティ管理のための主な考慮事項とシステム適応 のドキュメントを参照してください。
もしあなたが Terraform を使っているなら、OpenSearch Security API をサポートするサードパーティプロバイダが利用可能です。これらのプロバイダをAivenプロバイダと連携して利用する方法については、近日中にブログで具体的なガイダンスを公開する予定ですので、続報にご期待ください。
価格と入手方法
Aiven for OpenSearchは、AWS、Google Cloud、Microsoft Azureといった主要なハイパースケーラーで、世界100以上のリージョンで利用可能です。
Aiven for OpenSearchのプランは、HobbyistおよびStartup層のシングルインスタンス構成から、BusinessおよびPremium層のマルチインスタンスクラスターまで多岐にわたります。詳細は価格ページをご覧ください。
Aiven for OpenSearchの価格は1時間あたりで、1時間あたり0.026ドル(月額19ドル)からとなっています。OpenSearchセキュリティは追加料金なしでご利用いただけます。