Elastic 云安全

Elastic 云是我们不断增长的基于 Elasticsearch 的解决方案系列。对于每项 Elastic 云服务,我们都努力为您的数据提供安全性和隐私。以下是数千名客户信任我们满足其搜索需求和数据的原因。

我们致力于信息安全和隐私

Elastic 维护着一个全面的信息安全计划,其中包括适当的技术和组织措施,旨在保护我们客户的集群数据免受未经授权的访问、修改或删除。
了解更多...(见下文 1)

我们有专门的信息安全和隐私团队进行防御

Elastic 的安全和隐私计划由首席信息安全官 (CISO) 和数据保护官 (DPO) 领导。此外,我们还有专门的团队专注于信息安全 (InfoSec)、法规遵从性、软件漏洞和 Elastic 云安全运营,以确保您的数据私密和安全。我们的法律团队包括在美国和欧洲获得认证的信息隐私专业人员 (CIPP) 的律师。

我们的隐私声明是透明且清晰的

Elastic 尊重个人的隐私权。我们最近更新了我们的隐私声明,明确说明了何时收集个人数据以及如何使用它。我们用通俗易懂的语言编写了隐私声明,以对我们的用户和客户透明。

我们仔细审查第三方供应商

Elastic 不使用 SolarWinds Orion。 SUNBURST 后门 不会影响 Elastic 云解决方案和服务。

Elastic 基于开源代码和商业代码之间的健康平衡而构建。透明是我们的超能力。我们在线发布依赖项,开源代码增加了整个社区的参与度:每个人都可以贡献、评论和检查代码。Elastic 使用软件成分分析工具来检测和缓解软件依赖项中的漏洞。

Elastic 维护着一个供应链风险管理计划,要求第三方供应商维护其自身的安全和隐私实践与程序。Elastic 的 InfoSec 团队定期对所有可能共享机密或受限 Elastic 信息(例如,个人数据)的第三方供应商进行安全审查。

我们运营着领先的云搜索平台

Elastic 云搜索驱动的解决方案是在 Elastic 创建的现代、灵活、可扩展、面向服务的架构上实现的。Elastic 使用其核心的 Elastic Cloud Enterprise 架构管理这些产品。
了解更多...(见下文 2)

我们确保强大的物理安全控制

Elastic 云搜索驱动的解决方案托管在由行业领先的基础设施即服务提供商(包括 Amazon Web Services (AWS)、Google Cloud 和 Microsoft Azure)管理的认证云平台上。Elastic 审查其子处理器的安全认证和实践,以确保在将处理和存储 Elastic 云数据的所有场所都采取了适当的物理安全措施。
了解更多...(见下文 3)

我们已构建了逻辑安全控制

我们已采取重大措施,以确保 Elastic Cloud 客户的数据在电子传输、传输或存储过程中,不会通过未经授权的方式被读取、复制、修改或删除。为了降低与漏洞相关的事件发生的可能性,Elastic Cloud 团队会基于最新的操作系统内核部署 Elasticsearch 实例,并在任何组件软件中发现关键 CVE(即安全领域的“通用漏洞和暴露”)时,立即修补计算“集群”。同样,用于配置 Elastic Cloud 搜索解决方案的 Elastic 软件,包括 Elastic Stack 组件和 Elastic Cloud Enterprise,也会在发布后立即更新,以确保部署最新版本。

为了保护客户数据,Elastic Cloud 集群配备了 Elastic 安全功能,这些功能会随机分配单独的密码。集群部署在冗余代理之后,并且对互联网扫描不可见。默认配置中提供了来自互联网的传输层安全 (TLS) 加密通信。Elasticsearch 节点在隔离的容器中运行,根据最小权限原则进行配置,并对系统调用和允许的 root 操作进行限制。Elasticsearch 节点使用 TLS 进行通信(要求客户选择 6.0 或更高版本的 Elastic Stack)。集群数据在静态时加密。我们支持基于 IP 地址的访问控制,以便用户可以通过过滤特定的 IP 范围来限制对其托管部署的访问。通过与 AWS PrivateLink 集成,可在 Amazon 上获得额外的网络层安全性。我们对 AWS PrivateLink 的支持有助于消除您数据暴露在公共互联网上的风险。这是通过保护您的 Amazon VPC、应用程序和 AWS 上的 Elastic Cloud 部署之间的网络连接来实现的。API 访问仅限于 Elasticsearch API,不允许远程访问 Linux 级别的实例或容器。容器无法与其他集群的容器建立通信。

我们已实施访问控制和日志记录

建立了访问控制,以验证访问处理我们客户集群数据的系统的个人的身份。这些控制旨在确保未经授权的人员无法访问此类系统,并且授权的个人只能访问与其角色相符的内容。此类控制包括多因素身份验证、密码强度标准以及用于管理访问的虚拟专用网络 (VPN)。此外,我们还实施了集中日志记录,包括代理日志、访问日志、Elasticsearch 日志和 Auditbeat 日志,以记录对客户集群数据及其所在系统的访问。

我们保证数据可用性

我们构建了一个基于云的平台,为您的数据提供高水平的可用性。我们使用技术和组织措施,包括数据备份、多个可用区和灾难恢复计划,以确保客户集群数据受到保护,免受意外破坏或物理或逻辑丢失。
了解更多…(见下文第 4 点)

我们实践负责任的漏洞管理

Elastic 认识到软件开发本身就包含引入漏洞的可能性。我们接受并以透明的方式披露在我们的软件中发现的漏洞。此外,Elastic 还是 CVE 编号授权机构 (CNA)。
了解更多…(见下文第 6 点)

我们的运营符合 GDPR 原则

Elastic 已为 GDPR 做好准备,仔细审查并记录其如何处理个人数据,实施技术和组织措施以保护其处理的个人数据,并定义和实施流程以尊重所有产品和服务中数据主体的权利。如今,Elastic 的运营符合 GDPR 原则。Elastic Cloud 客户可以通过创建支持案例或直接发送电子邮件至 [email protected],来请求数据处理附录 (DPA)。

我们的运营符合 SOC 2 标准

Elastic 认识到遵守一套通用的合规性和认证以及获得公正的行业审计师验证的重要性。以下 Elastic Cloud 服务(Elasticsearch Service、Elastic Site Search Service 以及 Elastic Support Subscriptions)已由 Coalfire 审计并获得 SOC 2 Type 2 认证。客户可以通过支持门户请求 SOC 2 报告,或通过创建支持案例或发送电子邮件至 [email protected] 来请求。

我们被授权以 FedRAMP 中等影响级别运行

Elastic Cloud 已在 FedRAMP 中等 影响级别获得授权,可在 AWS GovCloud (US) 上部署。联邦、州和地方政府用户,以及高等教育机构和拥有政府数据的用户今天就可以注册

了解更多…(见下文第 7 点)

Elastic Cloud 符合 HIPAA 安全标准

HIPAA(或 1996 年的《健康保险流通与责任法案》)是美国的立法,为保护医疗信息提供了数据隐私和安全条款。HIPAA 规则适用于处理受保护的健康信息 (PHI) 的“受保实体”,例如保险公司或医生办公室,并扩展到像 Elastic 这样的商业伙伴,他们代表此类受保实体处理 PHI。Microsoft Azure、Google Cloud 和 Amazon Web Services 上的所有 Elastic Cloud 订阅层都允许签订 HIPAA 商业伙伴协议 (BAA)。

保护您的帐户

在 Elastic,我们知道安全是每个人的责任。这就是为什么我们将安全性融入到我们产品的开发和 Elastic Cloud 的基础中。您的 Elastic Cloud 数据的安全性和隐私还取决于您是否安全配置 Elasticsearch 集群并保持 Elastic Cloud 登录凭据的机密性。

这是一个快速清单

  • 不要与他人分享您的凭据。
  • 更新您的帐户个人资料,以确保信息正确且最新。
  • 根据需要添加运营联系人。
  • 确保您已设置安全的密码。
  • 在 Elastic Cloud 部署上启用自定义插件时要谨慎。
  • 考虑设置在启动破坏性操作时需要索引名称的选项。

如果您需要进行 Elastic Cloud 控制台中未提供的更改,请创建 Elastic 支持案例。如果您认为某个帐户已被盗用,请发送电子邮件至 [email protected]。要行使您的隐私权,您可以提交此表格来提出请求。

了解更多详细信息

  1. 有关我们的安全和隐私计划的更多信息,包括我们对安全标准和法规的支持,可以在我们的安全页面上找到。
  2. Elastic 已正式采用信息安全计划,该计划已通过 ISO 27001 认证,包括 ISO 27017 和 ISO 27018。Elastic 信息安全治理政策是所有信息安全政策、标准和指南的支柱。
  3. https://elastic.ac.cn/guide/en/cloud-enterprise/current/ece-architecture.html
  4. Elastic Cloud 托管在具有以下认证的第三方平台上
    SOC 1、SOC 2、ISO 27001、ISO 27017、ISO 27018。请参阅
    https://aws.amazon.com/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqshttps://cloud.google.com/security/compliance
  5. Elastic Cloud 提供以下内容
    1. 跨多个可用区的平台基础设施冗余
    2. 客户跨可用区复制集群数据的功能
    3. 可用性监控
    4. 关键平台数据的备份
    5. 24/7 全天候运营
    6. 状态页面 - https://cloud-status.elastic.co/
  6. Elastic 在 https://elastic.ac.cn/community/security 维护一个记录在案的公开流程,用于提交漏洞和安全相关问题。公司遵循记录在案的(内部)流程来响应漏洞和其他安全相关报告。公司创建了一个由每个产品中最具安全知识的人员组成的团队,通过一个私有邮件列表进行协作,以评估和响应报告。公司还通过 CVE 发布漏洞,并在 https://discuss.elastic.co/c/security-announcements 上发布公开声明。
  7. 请访问 FedRAMP Marketplace 以查看 Elastic Cloud 的云服务产品 (CSO) 条目。您将在我们的网站上找到有关注册的更多信息。