安全生产注意事项
编辑安全生产注意事项
编辑为了在生产环境中保护您的 Kibana 安装,请考虑以下高优先级主题,以确保只有授权用户才能访问 Kibana。有关 Kibana 安全控制的更多信息,请参阅 配置安全性。
启用 SSL/TLS
编辑您应该使用 SSL/TLS 加密来确保浏览器和 Kibana 服务器之间的流量不会被第三方查看或篡改。请参阅 为 Kibana 加密 HTTP 客户端通信。
encrypt-kibana-http
使用 Elastic Stack 安全功能
编辑您可以使用 Elastic Stack 安全功能来控制用户可以通过 Kibana 访问哪些 Elasticsearch 数据。
启用安全功能后,Kibana 用户必须登录。他们必须具有授予 Kibana 权限和访问他们将在 Kibana 中使用的索引的角色。
如果用户加载的 Kibana 仪表板访问了他们未被授权查看的索引中的数据,他们会收到一个错误,指示该索引不存在。
有关授予 Kibana 访问权限的更多信息,请参阅 授予对 Kibana 的访问权限。
使用安全 HTTP 标头
编辑Kibana 服务器可以使用 HTTP 标头指示浏览器启用其他安全控制。
-
启用 HTTP 严格传输安全。
使用
strictTransportSecurity以确保浏览器只会尝试使用 SSL/TLS 加密来访问 Kibana。这旨在防止中间人攻击。要在您的kibana.yml中配置一年有效期,请使用以下设置:server.securityResponseHeaders.strictTransportSecurity: "max-age=31536000"
此标头将阻止对整个域的未加密连接。如果您在同一域上使用不同的端口或路径托管多个 Web 应用程序,则所有这些应用程序都将受到影响。
-
禁用嵌入。
使用
disableEmbedding以确保 Kibana 不能嵌入到其他网站中。要在您的kibana.yml中配置此项,请使用以下设置:server.securityResponseHeaders.disableEmbedding: true
要求内容安全策略
编辑Kibana 使用内容安全策略 (CSP) 来防止浏览器允许不安全的脚本,但较旧的浏览器会静默忽略此策略。如果您的组织不需要支持我们支持的浏览器的非常旧的版本,我们建议您为 CSP 启用 Kibana 的 strict 模式。这将阻止任何不强制执行即使是最基本的 CSP 保护的浏览器访问 Kibana。
为此,请在您的 kibana.yml 中将 csp.strict 设置为 true
csp.strict: true