Elasticsearchへアクセスする際のセキュリティ

お世話になります。

サイトでクライアントのブラウザからAjaxを使って全文検索をしたいと考えていますが、
どういったセキュリティ対策をするべきか検討しているのです。

関連していくつか疑問があり、お聞きしたいです。

以下のようなものがあるかと考えているのですが、他にもありますでしょうか。
また、どれを実施するのが一般的かなどのアドバイスがいただけると幸いです。

  1. IPやHOST制限
  2. USER認証
  3. console機能をオフにする
  4. WAFやプロキシ的なサーバーを仲介させる
  5. 公開されているプラグインを利用する
  6. Search Lite APIは公開しない

また、Elasticsearch自体は外部からどの程度オープンにできる想定でしょうか。
もし、注意すべき点や考えられるリスクなどがあれば知りたいです。

Search Lite APIはフィールドの指定が含まれるので公開しないほうがいいというような記述は見たのですが、
Search Lite APIを非公開にするオプションなどが設定できますでしょうか。
ない場合には、
例えば、Elasticsearchとは別の機構でURLベースの制限をかけるような方法をとるとかで制限する形でしょうか。

宜しくお願いいたします。

そもそも公開しないで、アプリケーションを1つ挟むのが良いかと思います。
データベースと同じだと思っていただくのが良いのではないでしょうか。
Ajaxということは、不特定多数の方たちからアクセスがあるということだと思いますので。

1 Like

わかりました。ありがとうございます。

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.