X-Pack还是SearchGuard,Elasticsearch安全功能怎么选?
X-Pack是Elasticsearch中非常重要的软件功能集合,为 Elastic Stack 带来了一系列深度集成的企业级功能,其中包括安全、告警、监测、报告、图表分析、专用 APM UI 和 Machine Learning,其中最重要的就是安全方面的功能。
SearchGuard是开源的、面向Elasticsearch和Elastic Stack的安全插件,在Elasticsearch领域应该算得上是应用最广泛的安全插件。
那么两者有什么区别,又该如何选择呢?本文全方面介绍两者发展的历史,功能和区别,探讨应该如何选择以构建完善的安全体系。
一、X-Pack的发展历史
Elasticsearch在5.X版本之前,提供了一些很基础的安全和告警功能,以独立的功能模块存在,这个时期的安全功能是比较弱的,也是被大家所诟病的。
Elastic团队在5.X以后的版本,对基础的安全、告警、监控等功能进行了封装,形成了X-Pack,但是此时的X-Pack并不是与Elasticsearch集成在一起的,需要独立安装。
直到6.3版本及以后,X-Pack终于与Elasticsearch集成,所有免费 X-Pack 功能(Monitoring、Search Profiler、Grok Debugger、Elastic Maps Service 中的缩放级别、专用 APM UI 等)随 Elasticsearch、Kibana、Beats 和 Logstash 的默认分发版提供,无需额外安装,更加方便了。但是致命的问题在于基础的安全功能仍然属于付费功能,这让很多应用的企业非常纠结,这也是其他第三方的开源安全软件能够发挥作用的重要原因。直到7.X版本,Elastic才终于宣布X-Pack的基础安全功能免费提供,而这时候已经经历了好几个大版本了。
目前Elasticsearch 8 X-Pack的功能默认开启,默认启用SSL,自动生成证书,使用非常方便了,满足企业的基本安全需求毫无问题。
特别提一个事情:2018年,Elastic将所有X-Pack特性相关的所有代码进行了开源,一是为了结合开源的力量让X-Pack的功能更完善;二是可以让人家对X-Pack的功能有更多的了解,毕竟X-Pack可不止有安全告警的功能。
二、SearchGuard的发展历史
2013年Hendrik Saly开发了一个Elasticsearch安全插件,由于受到欢迎,后来组件了团队进行专门的开发工作,被命名为Search Guard。
到了2015年Search Guard 1.X正式在Github上发布,且支持Elasticsearch 2.2.0 SSL功能。
2016年Search Guard 5支持了审计日志以及对新的REST API的支持,且免费提供,这对于开发者以及企业应用来说都是一个非常好的消息,Search Guard快速发展,且开始被广泛应用。
2017年~2021年Search Guard稳步推进,支持越来越多的功能,发布了Search Guard 6和Search Guard 7,支持Kibana插件、支持告警、支持SAML 和 OpenID、更加完善和易于使用的TLS工具等,由于基础安全功能均是免费,Search Guard占据了非常大的市场,是很多团队做Elasticsearch安全体系建设的首选。
2022年Search Guard FLX GA发布,支持了Elasticsearch 8 和OpenSearch,这是一次全新的发布,功能模块清晰,文档明确。
三、X-Pack和Search Guard功能对比
这里的功能对比基于目前最新的Search Guard FLX和最新版本的Elasticsearch所集成的X-Pack。
3.1 X-Pack的功能
X-Pack有许多的功能,作为对比,我们这里主要讲关于安全方面的功能。
-
身份验证
支持通过 Active Directory、LDAP 或 Elasticsearch 原生 Realm 来进行身份验证,支持单点登录,支持自定义Realm来支持自行研发的身份认证管理系统。 -
权限管理
控制用户在 Elastic Stack 中的权限,管理不同的用户和角色,以支持不同职能的角色查看不同的内容。 -
防止信息泄露、篡改和监听
支持SSL/TLS,集群中节点间通信、HTTP传输、与Elastic Stack中其他组件的通信都能够安全进行。 -
分层安全控制
支持集群、索引、文档、字段不同级别的安全控制。
-
审计支持
支持审计功能,记录完整的用户操作活动,满足审计的要求。
-
合规要求
满足合规的要求,支持HIPAA、PCI DSS、FISMA、ISO 或 GDPR等多个标准,大多数是美国的标准。
3.2 Search Guard的功能
-
身份认证
Search Guard 支持所有主要的身份验证和授权行业标准,例如LDAP、Active Directory、JWT、TLS客户端证书、代理认证、Kerberos、OpenID、JWKS、SAML等。 -
权限管理
实现了基于RBAC基于角色的访问控制,能够支持不同的角色不同的权限。
-
分层安全控制
支持文档级别和字段级别的安全控制。
-
审计支持
Search Guard 跟踪和监控集群内的所有数据流,并可以在多个级别生成审计跟踪。
-
合规要求
通过以上对比可以发现,最新的版本两者支持的功能差不多,Search Guard在身份认证支持的功能上更加全面一些,并且提供的工具使用非常方便;X-Pack则是集成在Elastic Stack中,无需独立安装。
四、X-Pack和Search Guard如何选择?
如果你的Elasticsearch版本是7.X以前的版本,那么建议你仍然最优先选择Search Guard,免费及简便易用,能满足日常基础安全需求,虽然需要单独安装,但是相比之下无上大雅。
如果是Elasticsearch 7.X及以后的版本,特别是Elasticsearch 8的版本则可以优先选择使用集成的X-Pack,当然有两种情况除外:
- 有需要Search Guard支持较好而X-Pack支持较弱或者不支持的情况,例如上面提到的身份认证的某种场景下。
- 公司存在多个旧的版本,为了兼容以及统一,可以使用Search Guard。
五、Search Guard倒逼了X-Pack
我们要特别感谢Search Guard,如果不是Search Guard开放了这些免费基础的安全功能,我相信我们目前仍然有很大的可能还处于Elastic付费使用的情况之下,虽然Elastic宣称开源开放是他们的方向,但是没有Search Guard的倒逼的话,这事可能没那么快。
AWS曾经公开说Search Guard是他们很好的合作伙伴,被认为是安全有效的。Elastic曾经和Search Guard的运营公司floragunn GmbH打官司,认为Search Guard抄袭了X-Pack的代码,是否是事实不好说喽,但是Search Guard对社区的贡献是很大的,毋庸置疑。