En aquest tema, explorarem com implementar l'auditoria i el compliment en Elasticsearch. L'auditoria és crucial per mantenir un registre detallat de les activitats que es duen a terme en el sistema, mentre que el compliment assegura que el sistema compleix amb les normatives i regulacions aplicables.

• Entendre la importància de l'auditoria i el compliment.
• Configurar l'auditoria en Elasticsearch.
• Revisar i analitzar els registres d'auditoria.
• Assegurar el compliment de normatives amb Elasticsearch.

• Seguretat: Permet detectar activitats sospitoses o no autoritzades.
• Transparència: Proporciona un registre clar de les accions realitzades.
• Resolució de Problemes: Facilita la identificació i resolució d'incidents.
• Compliment: Assegura que es compleixen les normatives legals i regulacions.

• Regulacions Legals: Moltes indústries tenen regulacions estrictes que requereixen el compliment.
• Confiança del Client: Els clients confien més en sistemes que compleixen amb les normatives.
• Evitar Sancions: El no compliment pot resultar en sancions legals i financeres.

1. Editar el fitxer de configuració elasticsearch.yml: Afegiu les següents línies per habilitar l'auditoria:

   xpack.security.audit.enabled: true
   xpack.security.audit.outputs: [ index, logfile ]
   xpack.security.audit.logfile.events.include: [ "access_granted", "access_denied" ]
   xpack.security.audit.index.events.include: [ "access_granted", "access_denied" ]
   

2. Reiniciar Elasticsearch: Després de fer els canvis, reinicieu el servei d'Elasticsearch perquè els canvis tinguin efecte.

• access_granted: Registra quan es concedeix accés a un recurs.
• access_denied: Registra quan es denega l'accés a un recurs.
• authentication_failed: Registra intents fallits d'autenticació.
• run_as_granted: Registra quan un usuari actua en nom d'un altre usuari.
• run_as_denied: Registra quan es denega l'acció en nom d'un altre usuari.

Els registres d'auditoria es poden emmagatzemar en fitxers de registre o en un índex d'Elasticsearch. Per accedir als registres:

• Fitxers de registre: Els registres es troben al directori de registres d'Elasticsearch, generalment a /var/log/elasticsearch/.
• Índex d'Elasticsearch: Podeu cercar els registres utilitzant Kibana o una consulta directa a Elasticsearch.

• GDPR (General Data Protection Regulation): Regula la protecció de dades personals a la Unió Europea.
• HIPAA (Health Insurance Portability and Accountability Act): Regula la protecció de dades de salut als Estats Units.
• PCI DSS (Payment Card Industry Data Security Standard): Regula la seguretat de dades de targetes de pagament.

• Xifrat de Dades: Assegureu-vos que les dades sensibles estiguin xifrades tant en trànsit com en repòs.
• Control d'Accés: Implementar controls d'accés estrictes basats en rols.
• Registres d'Auditoria: Mantenir registres detallats de totes les activitats.
• Revisió Regular: Realitzar revisions regulars dels registres d'auditoria i de les configuracions de seguretat.

1. Configura l'auditoria en el teu entorn Elasticsearch seguint els passos descrits anteriorment.
2. Realitza diverses accions com a diferents usuaris (per exemple, accedir a índexs, actualitzar documents, etc.).
3. Revisa els registres d'auditoria per veure les accions registrades.

1. Configuració:

   xpack.security.audit.enabled: true
   xpack.security.audit.outputs: [ index, logfile ]
   xpack.security.audit.logfile.events.include: [ "access_granted", "access_denied" ]
   xpack.security.audit.index.events.include: [ "access_granted", "access_denied" ]
   

2. Revisió de registres:

   GET /_search
   {
     "query": {
       "match": {
         "event.type": "access_granted"
       }
     }
   }
   

En aquesta secció, hem après la importància de l'auditoria i el compliment en Elasticsearch, com configurar l'auditoria, revisar els registres i assegurar el compliment de normatives. Aquestes pràctiques són essencials per mantenir la seguretat, la transparència i el compliment legal del vostre sistema Elasticsearch.