在使用 ES 的過程中，如果 ES 集群中存放的是敏感數(shù)據(jù)，是不能夠隨便供人查看的。什么？在排查故障？那也不行，合規(guī)高于一切。 不知道大家有沒有遇到過上面描述的情景，或者如果是你遇到了，你會怎么辦呢？ 我們常常講，解決問題要抓住問題的本質(zhì)。人類的本質(zhì)是復(fù)讀機(jī)，上述問題的本質(zhì)是"敏感"。 既然問題的本質(zhì)是數(shù)據(jù)敏感，那就把敏感數(shù)據(jù)變成普通數(shù)據(jù)。這樣既符合了合規(guī)要求，也促進(jìn)大家工作。
話不多說，我們 demo。 在下面的 demo 過程中，我們主要用到 easysearch，不為別的，因?yàn)樗詭撁艄δ堋?/p>

準(zhǔn)備敏感數(shù)據(jù)?#

下面的數(shù)據(jù)中，字段 description 和 country 是敏感的。受限用戶查看時，敏感數(shù)據(jù)顯示脫敏后的內(nèi)容。

POST movies/_doc/1
{
“year”: 2023,
“title”: “This is a movie”,
“description”:”我是敏感數(shù)據(jù)”
}
POST movies/_doc/2
{
“year”: 2023,
“title”: “What r u looking at”,
“description”:”我是敏感數(shù)據(jù)”,
“country”:”我是敏感數(shù)據(jù)”
}

建立 hash 脫敏角色并賦給用戶?#

默認(rèn)情況下，easysearch 安全模塊使用 BLAKE2b 算法，但你可以使用 JVM 提供的任何哈希算法。此列表通常包括 MD5、SHA-1、SHA-384 和 SHA-512。 此次測試，我們就用默認(rèn)的算法，建立一個 masked_movie 角色。該角色只能查看 movies 索引，且 description 和 country 字段會被脫敏查看，脫敏方式是默認(rèn)的 BLAKE2b 算法。

PUT_security/role/masked_movie
{ “cluster”: [],
“indices”: [{
“names”: [“movies”],
“field_mask”: [“description”,”country”],
“privileges”: [“read”] }]
} PUT _security/user/movie-user
{
“password”: “password”,
“roles”: [“masked_movie”]
}

Hash 脫敏效果?#

受限用戶查看效果

高權(quán)用戶查看效果

像這樣切換用戶的操作，在生產(chǎn)環(huán)境中其實(shí)也沒這么簡單。生產(chǎn)的密碼不能隨便告知他人，甚至不能通過口頭、通訊軟件來傳遞。針對這種情況，easysearch 有個身份模擬功能，可配置一個用戶能模擬其他用戶來訪問 ES。 配置好后，我就能用 admin 直接模擬 movie-user 用戶了（-H “security_run_as:movie-user”）。
效果如下：

相關(guān)鏈接?https://www.infinilabs.com/docs/latest/easysearch/references/security/access-control/run-as/

正則脫敏?#

除了使用哈希，還可以使用一個或多個正則表達(dá)式來替換字符串從而達(dá)到字段脫敏的效果。語法是?:://::?。如果使用多個正則表達(dá)式，則結(jié)果將從左向右傳遞，就像 shell 中的管道操作一樣。 我們再建立一個正則脫敏的角色和用戶，讓敏感數(shù)據(jù)只顯示第一個漢字。

PUT _security/role/masked_movie_re
{
“cluster”: [],
“indices”: [{
“names”: [“movies”],
“field_mask”: [
“description::/(.)(.)/::$1**“,
“country::/(.)(.)/::$1**“ ],
“privileges”: [“read”]
}]
}
PUT _security/user/movie-user-re
{
“password”: “password”,
“roles”: [“masked_movie_re”]
}

正則脫敏效果?#

受限用戶查看效果

流量分析與脫敏?#

大家知道我們還有個產(chǎn)品叫 Infini Gateway，它可做 ES 流量分析。在進(jìn)行流量分析時，會抓取請求的內(nèi)容和返回。由于"脫敏"是在 easysearch 里完成的，所以 Gateway 記錄的數(shù)據(jù)，已經(jīng)是脫敏后的了。 我們來看一下，把訪問的 url 換成網(wǎng)關(guān)的端口。

curl -ku movie-user-re:password http://localhost:8000/movies/_search?pretty

查看 Gateway 記錄的數(shù)據(jù)

嗯，香！ 好了，這次 demo 到這里就結(jié)束了。大家有什么好的想法、需要解決的場景，歡迎交流。