お世話になります。
サイトでクライアントのブラウザからAjaxを使って全文検索をしたいと考えていますが、
どういったセキュリティ対策をするべきか検討しているのです。
関連していくつか疑問があり、お聞きしたいです。
以下のようなものがあるかと考えているのですが、他にもありますでしょうか。
また、どれを実施するのが一般的かなどのアドバイスがいただけると幸いです。
- IPやHOST制限
- USER認証
- console機能をオフにする
- WAFやプロキシ的なサーバーを仲介させる
- 公開されているプラグインを利用する
- Search Lite APIは公開しない
また、Elasticsearch自体は外部からどの程度オープンにできる想定でしょうか。
もし、注意すべき点や考えられるリスクなどがあれば知りたいです。
Search Lite APIはフィールドの指定が含まれるので公開しないほうがいいというような記述は見たのですが、
Search Lite APIを非公開にするオプションなどが設定できますでしょうか。
ない場合には、
例えば、Elasticsearchとは別の機構でURLベースの制限をかけるような方法をとるとかで制限する形でしょうか。
宜しくお願いいたします。