Amazon OpenSearch Service を利用して、検索およびログ分析データを監査および保護する

認証、承認、暗号化、監査、規制遵守に関するセキュリティ要件を満たし、維持します。

大量のデータに基づいて構築された分析ソリューションは、特にセキュリティリスクや違反の影響を受けやすくなっています。 次の機能を備えた堅牢なセキュリティおよびコンプライアンスソリューションが必要です。

  • 機密性の高いワークロードを確実にホストする
  • 機密データへのアクセスを保護および制限する
  • サードパーティーの ID プロバイダーと統合する
  • 保管中および転送中のデータを保護する
  • ユーザーアクティビティと設定の更新を監査する
  • カスタムアプリケーションや他の AWS のサービスへのプログラムによるアクセスを設定する

セキュリティリソース

1 - 8 (13) を表示中
Github

OpenSearch の公開ロードマップ

GitHub を表示
Technical Resources

AWS データラボ

AWS データラボは、データと分析のモダナイゼーションイニシアティブを加速する具体的な成果物を生み出すために、お客様と AWS の技術リソースとの間で高速な共同エンジニアリングエンゲージメントを提供します。

詳細はこちら
Training and Certificaton

AWS データおよび分析のトレーニングと認定

スキルを構築し、専門知識を検証するための AWS データと分析のトレーニングと認定。

詳細はこちら
Article

セキュリティ分析とは何ですか?

詳細はこちら
Video

Building security operations with Amazon OpenSearch Service (Amazon OpenSearch Service によるセキュリティオペレーションの構築)

動画を見る
Video

デモ: セキュリティオペレーションの設定

動画を見る
Video

Amazon OpenSearch Service ウェビナーを視聴して、ログと分析データを保護しましょう。

動画を見る
Blog

Identify and remediate security threats to your business using security analytics with Amazon OpenSearch Service (Amazon OpenSearch Service のセキュリティ分析を使用して、ビジネスへのセキュリティ脅威を特定し修正)

2023 年 3 月 14 日、Kevin Fallis、Jimish Shah

ブログを読む

ページトピック

セキュリティに関するよくある質問
4

セキュリティに関するよくある質問

すべて開く

Amazon OpenSearch Service は複数のセキュリティ機能を提供し、HIPAA に適合しています。また、PCI DSS、SOC、ISO、および FedRamp 標準に準拠しているため、セキュリティとコンプライアンスのニーズを満たすことができます。ドメインの作成やスケーリングなどの操作のための Amazon OpenSearch Service 管理 API へのアクセスは、AWS Identity and Access Management (IAM) ポリシーで制御されます。

Amazon OpenSearch Service ドメインは、VPC 内のエンドポイントまたはインターネットにアクセス可能なパブリックエンドポイントでアクセスできるように設定できます。VPC エンドポイントのネットワークアクセスはセキュリティグループで制御され、パブリックエンドポイントのアクセスは IP アドレスによって許可または制限できます。

ネットワークベースのアクセスコントロールに加えて、Amazon OpenSearch Service は IAM を介したユーザー認証と、ユーザー名とパスワードを使用した基本認証を提供します。承認は、ドメインレベルで (ドメインアクセスポリシーを介して)、インデックス、ドキュメント、およびフィールドレベルで (OpenSearch が提供するきめ細かいアクセスコントロール機能を介して) 付与できます。さらに、きめ細かいアクセスコントロール機能は、読み取り専用ビューと安全なマルチテナントサポートで OpenSearch ダッシュボードおよび Kibana を拡張します。

Amazon OpenSearch Service は Amazon Cognito との統合もサポートしているため、エンドユーザーは SAML 2.0 や Amazon Cognito ユーザープールなどを使用する Microsoft アクティブディレクトリなどのエンタープライズ ID プロバイダーを介して OpenSearch ダッシュボードおよび Kibana にログインできます。サインインすると、Amazon Cognito は適切な IAM プリンシパルを使用してセッションを確立します。これにより、Amazon OpenSearch Service ドメインへのアクセスが与えられます。これらの IAM プリンシパルは、OpenSearch を使用したきめ細かいアクセスコントロール機能で使用できます。

Amazon OpenSearch Service のセキュリティには、ネットワーク、ドメインアクセスポリシー、きめ細かいアクセスコントロールの 3 つの主要レイヤーがあります。最初のセキュリティレイヤーはネットワークであり、リクエストがドメインに到達するかどうかを決定します。VPC の特定のセキュリティグループに制限されたインターネットまたは VPC アクセスを介したパブリックアクセスをサポートしています。ドメインアクセスポリシーは、2 番目のセキュリティレイヤーです。リクエストがドメインエンドポイントに到達すると、ドメインアクセスポリシーにより、指定された URL へのリクエストアクセスが許可または拒否されます。ドメインアクセスポリシーは、OpenSearch 自体に到達する前に、ドメインのエッジでリクエストを許可または拒否します。3 番目の最後のセキュリティレイヤーは、きめ細かいアクセスコントロールです。ドメインアクセスポリシーにより、リクエストがドメインエンドポイントに到達できるようになった後、きめ細かいアクセスコントロールがユーザー認証情報を評価して、ユーザーを認証するか、リクエストを拒否します。きめ細かいアクセスコントロールがユーザーを認証する場合、そのユーザーにマップされているすべてのロールを取得し、権限の完全なセットを使用して、ユーザーがアクセスできるデータを判断します。

はい。Amazon OpenSearch Service は、AWS Key Management Service (KMS) を介した保管時の暗号化、TLS を介したノード間暗号化、およびクライアントに HTTPS の通信をリクエストする機能をサポートしています。保管時の暗号化は、シャード、ログファイル、スワップファイル、および自動化された S3 スナップショットを暗号化します。AWS マネージドキーを使用するか、独自のキーを選択できます。ノード間の暗号化により、ノード間のすべての通信で TLS が有効になります。Amazon OpenSearch Service は、ドメインの存続期間中に証明書を自動的にデプロイおよびローテーションします。クライアントが HTTPS を介して通信する必要がある場合、最小 TLS バージョンを指定することもできます。

VPC アクセスが有効な場合、Amazon OpenSearch Service のエンドポイントはお客様の VPC 内のみアクセス可能です。お使いのノートパソコンを使用して VPC 外部から OpenSearch ダッシュボードおよび Kibana にアクセスするには、VPN または VPC の Direct Connect を使用して VPC に接続する必要があります。