Mises à jour pour Shield

Shield, la solution de la société ElasticSearch se donne pour objectif de permettre à chacun de mettre en place des politiques de sécurité pour une pile ELK. Utilisée par des milliers d’entreprises, la solution fournit des capacités de protection des données pour l’ensemble ElasticSearch, Logstash et Kibana.

Shield 1.0.2

Shield 1.0.2 est une version de maintenance corrective, embarquant le filtrage des réglages sensibles de l’API et une réduction significative de l’empreinte mémoire des structures de données internes

Shield 1.1 et 1.2

Shield 1.1 et 1.2 sont les deux premières mises à jour d’importance depuis la publication de l’outil Shield en janvier dernier. Elles embarquent les fonctionnalités les plus demandées par les utilisateurs à ce jour et améliorent la performance générale de la solution. Passons en revue les nouveautés les plus significatives.

Support  d’ElasticSearch 1.5

Shield 1.1 et 1.2 partagent les mêmes fonctionnalités à une seule différence la compatibilité  avec ElasticSearch. Shield 1.1 sera la dernière version compatible avec ElasticSearch 1.4.2 et les futures versions de la branche de développement 1.4.x. Shield 1.2 exige quant à elle l’utilisation des versions ElasticSearch 1.5 ou postérieures. Le service de téléchargement des plug-ins d’ElasticSearch a été amélioré afin d’installer la dernière version de Shield compatible avec la version courante d’ElasticSearch.

Recherche utilisateur LDAP

Shield supporte maintenant la recherche LDAP des utilisateurs, qui se connecte au serveur avec un utilisateur spécifique possédant les privilèges de recherche pour trouver les utilisateurs et groupes, plutôt que de permettre à chaque utilisateur de posséder les privilèges de recherche LDAP. Ce mécanisme fournit une plus grande flexibilité et une meilleure performance à l’authentification des utilisateurs dans une structure de répertoire complexe. Il permet notamment la mise en place de la recherche dans un environnement qui restreint les opérations de recherche sur les répertoires. L’équipe met à disposition une documentation spécifique pour la mise en place de cette fonctionnalité.

Accès anonyme

Shield supporte aussi l’accès anonyme. L’accès sans certificat peut être mappé avec des rôles spécifiques permettant un contrôle à grain fin des actions permises pour les utilisateurs anonymes. Par exemple, la recherche par un utilisateur anonyme peut être permise sur un index spécifique tout en restreignant la modification de même index. L’audit des enregistrements d’accès anonyme est supporté. Cette fonctionnalité est désactivée par défaut, l’équipe met à disposition des administrateurs une procédure d’activation.

Filtrage dynamique des adresses IP

Shield permet maintenant un réglage du filtrage dynamique des adresses IP dynamique via l’API Cluster Update Settings. L’utilisateur peut activer ou désactiver le filtrage dynamiquement en plus de la mise à jour des adresses acceptées ou rejetées. Cela est particulièrement utile dans l’extension d’un cluster : nouveau nœud IP peut être ajouté sans nécessiter un le redémarrage des autres nœuds (cf. documentation).

Mappage des utilisateurs LDAP vers les rôles

Le mappage des utilisateurs et des groupes LDAP vers des rôles est supporté. Mapper les utilisateurs vers les rôles est très utile dans les environnements ou le maintien de groupes LDAP spécifiques à l’accès ElasticSearch serait trop compliqué (cf. documentation).

Filtrage des réglages

Shield permet maintenant de filtrer les réglages sensibles comme la configuration SSL et les mots de passe par défaut et fournit un mécanisme pour spécifier les autres réglages à filtrer. Ces réglages n’apparaîtront plus dans les sorties des réglages de l’API d’un nœud. Une documentation spéficique sur capacités de filtrage est mise à disposition des utilisateurs.

La liste complète des modifications embarquées par Shield 1.1 et Shield 1.2 est disponible sur le site d’ElasticSearch.

Source :  shield-1-1-and-1-2-released