我目前使用Solr對一些敏感記錄執行搜索服務。將加密添加到Solr/lucene索引
由於Solr/lucene通過在磁盤上以明文存儲敏感信息的反轉索引來提供快速搜索,因此需要對這些索引文件進行加密,以避免未經授權的人員繞過系統的安全性無法訪問它們。
我發現有類似的補丁在Apache JIRA AES encrypted directory和Codec for index-level encryption上打開。
AES加密目錄看起來很有希望,但是此補丁已針對lucene 3.1實施,因爲我使用的是較新版本,我不確定此修補程序是否可用於lucene版本5或更高版本。
我想知道是否有一種方法來實現加密索引的安全措施,或者是否可以編寫一些可以在I/O級別(即FsDirectory)上加密/解密索引的自定義插件?
您已分享的LUCENE-6966評論部分中的討論非常有趣。我會推斷這個quote of Robert Muir沒有任何東西烘焙到Solr,並且可能永遠不會。
更重要的是,文件級加密,數據將駐留在內存中的未加密的形式不接受我們的安全團隊,因此,一個非首發我們。
這就是說量。你應該解僱你的安全團隊!您正在浪費您的時間擔心這一點:如果您使用的是lucene,您的數據將以內存,純文本,無法控制的方式存在,並且您無法做到這一點!
試圖保證比「休息」更好的事情是嚴肅的事情,聽起來就像你的團隊已經過了頭。
因此,您應該考慮加密Solr在操作系統級別上使用的存儲。這對Solr應該是透明的。但是如果有人進入你的系統,他不應該能夠複製Solr數據。
這也是從結論的Lucidwors埃裏克·埃裏克森的文章Encrypting Solr/Lucene indexes繪製到底
縮寫形式是,這是那些不經不起推敲的想法之一。如果您擔心此級別的安全問題,最好考慮其他選項,從保護您的通信渠道到使用加密文件系統將您的系統與公共網絡物理隔離。當然,你永遠不應該讓外部世界直接訪問你的Solr安裝,只需考慮以下內容:
http://server:port/solr/update?stream.body=<delete><query>*:*</query></delete>!