如何确保Filebeat数据传输安全

确保 Filebeat 数据传输安全的实用方案

一 加密通道与证书配置

• 直连 Elasticsearch 时，使用 HTTPS 并启用证书校验；推荐将 ssl.verification_mode 设为 full，仅信任受管 CA，避免 none。示例：
  • 输出到 ES（最小可用安全配置）

    output.elasticsearch:
      hosts: ["https://es.example.com:9200"]
      username: "beats_writer"
      password: "${ES_PWD}"
      ssl.certificate_authorities: ["/etc/filebeat/certs/ca.crt"]
      ssl.verification_mode: full
    

  • 证书与密钥建议由受信 CA 签发；自签名仅用于测试。证书、密钥文件权限建议设为 600，仅 root 可读写。
• 经由 Logstash 时，开启 TLS/SSL 并启用 双向认证（mTLS），服务端强制校验客户端证书，客户端验证服务端证书，防止伪装与中间人攻击。示例：
  • Logstash 输入（Beats 端口 5044）

    input {
      beats {
        port => 5044
        ssl => true
        ssl_certificate_authorities => ["/etc/logstash/certs/ca.crt"]
        ssl_certificate => "/etc/logstash/certs/logstash.crt"
        ssl_key => "/etc/logstash/certs/logstash.key"
        ssl_verify_mode => "force_peer"
      }
    }
    

  • Filebeat 输出（指向 Logstash）

    output.logstash:
      hosts: ["logstash.example.com:5044"]
      ssl.certificate_authorities: ["/etc/filebeat/certs/ca.crt"]
      ssl.certificate: "/etc/filebeat/certs/filebeat.crt"
      ssl.key: "/etc/filebeat/certs/filebeat.key"
    

• 证书生成建议：使用 elasticsearch-certutil 或 OpenSSL 建立私有 CA，为 Elasticsearch/Logstash/Filebeat 签发证书，证书中包含必要的 SAN（IP/DNS） 以避免主机名校验失败。

二 身份认证与授权

• 启用 Elasticsearch 安全功能（X-Pack Basic 及以上），为内置用户设置强密码（如 elasticsearch-setup-passwords interactive/auto），并在 Kibana 使用 kibana_system 账户连接 ES。
• 为 Filebeat 创建最小权限专用用户（如 beats_writer），仅授予目标索引的写入与必要模板管理能力，避免使用 elastic 超级用户。示例：

  POST /_security/role/beats_writer
  {
    "indices": [
      { "names": ["filebeat-*","logs-*"], "privileges": ["create_index","write","auto_configure"] }
    ]
  }
  
  POST /_security/user/beats_filebeat
  {
    "password": "强密码",
    "roles": ["beats_writer"],
    "full_name": "Filebeat Writer"
  }
  

• 在 Filebeat 配置中使用该专用账户，密码通过 keystore 管理，避免明文存放：

  filebeat keystore create
  filebeat keystore add ES_PWD
  # 配置中使用 password: "${ES_PWD}"
  

• 若经由 Logstash 写入 ES，同样为 Logstash 创建专用写入账户与角色，遵循最小权限原则。

三 网络与系统加固

• 网络隔离与访问控制：将采集侧与存储/可视化侧置于隔离网络/VPC，仅开放必要端口（如 9200/5044/5601），对管理口与数据口实施白名单与 TLS 强制访问。
• 终端加固：限制 Filebeat 配置与证书目录权限（如 /etc/filebeat/ 与证书文件 600），仅授权运行用户访问；启用 SELinux/AppArmor 等强制访问控制策略按需放行。
• 组件加固：对 Kibana 强制 HTTPS，可通过 Nginx/网关 代理并叠加 Basic Auth 与 IP 白名单，降低暴露面与数据泄露风险。

四 高可用与可观测性

• 可靠性增强：在 Filebeat → Kafka → Logstash/ES 架构中引入 Kafka 作为缓冲层，缓解后端故障导致的日志积压与丢失风险，同时便于削峰与重放。
• 运行监控与审计：开启 Filebeat/Kibana 监控与 Elasticsearch 审计日志，持续观察连接异常、认证失败与证书到期告警；定期扫描未加密端口（如 9200/9300）。

五 快速验证与排障

• 连通性与证书校验：

  openssl s_client -connect es.example.com:9200 -servername es.example.com -showcerts
  curl -u beats_writer:${ES_PWD} --cacert /etc/filebeat/certs/ca.crt https://es.example.com:9200
  

• Filebeat 自检与日志：

  filebeat test config -e
  filebeat test output
  journalctl -u filebeat -n 100 -f
  

• Logstash 与网络连通性：

  telnet logstash.example.com 5044
  nc -zv logstash.example.com 5044
  

• 常见问题速查：证书路径/权限错误、证书无 SAN、服务端未开启 SSL/验证模式 过严、账户权限不足、代理/防火墙未放行等。