सोलर/ल्यूसीन इंडेक्स में एन्क्रिप्शन जोड़ना

Question

मैं वर्तमान में कुछ संवेदनशील रिकॉर्ड पर खोज सेवाओं को करने के लिए सोलर का उपयोग कर रहा हूं।

चूंकि सोलर/ल्यूसीन डिस्क पर सादा पाठ में संवेदनशील जानकारी के उलटा इंडेक्स को संग्रहीत करके तेजी से खोज प्रदान करता है, इसलिए इन इंडेक्स फ़ाइलों को एन्क्रिप्ट करने की आवश्यकता होती है ताकि अनधिकृत लोगों को सिस्टम की सुरक्षा को छोड़कर उनके पास पहुंच न हो ।

मुझे पता चला कि अपाचे जिरा AES encrypted directory और Codec for index-level encryption पर समान पैच खुले हैं।

एईएस एन्क्रिप्टेड निर्देशिका आशाजनक लग रही है लेकिन यह पैच ल्यूसीन 3.1 के लिए लागू किया गया है क्योंकि मैं नए संस्करण का उपयोग कर रहा हूं, मुझे यकीन नहीं है कि यह पैच ल्यूसीन संस्करण 5 या उच्चतम के साथ उपयोग किया जा सकता है या नहीं।

मैं सोच रहा था कि क्या सुरक्षा उपाय को लागू करने का कोई तरीका है जो इंडेक्स को एन्क्रिप्ट करता है या यदि कुछ कस्टम प्लगइन लिखना संभव है जो I/O स्तर (यानी FsDirectory) पर इंडेक्स को एन्क्रिप्ट/डिक्रिप्ट कर सकता है?

Answer 1

LUCENE-6966 के टिप्पणी अनुभाग में चर्चा आपने साझा की है वास्तव में दिलचस्प है। मैं इस quote of Robert Muir के साथ तर्क दूंगा कि सोलर में बेक्ड कुछ भी नहीं है और शायद कभी नहीं होगा।

इससे भी महत्वपूर्ण बात, फ़ाइल स्तर एन्क्रिप्शन के साथ, डेटा स्मृति में एन्क्रिप्ट न किए रूप है जो हमारी सुरक्षा टीम को स्वीकार्य नहीं है और इसलिए, हमारे लिए एक गैर स्टार्टर में रहते हैं।

यह वॉल्यूम बोलता है। आपको अपनी सुरक्षा टीम को आग लगनी चाहिए! आप इस बारे में चिंता करने में अपना समय बर्बाद कर रहे हैं: यदि आप लुसीन का उपयोग कर रहे हैं, तो आपका डेटा स्मृति में होगा, सादे पाठ में, जिस तरह से आप नियंत्रित नहीं कर सकते हैं, और इसके बारे में आप कुछ भी नहीं कर सकते हैं!

"आराम पर" से बेहतर कुछ भी गारंटी देने का प्रयास करना गंभीर व्यवसाय है, ऐसा लगता है कि आपकी टीम उनके सिर पर है।

तो आपको ओएस स्तर पर स्टोरेज सोलर का उपयोग करने पर विचार करना चाहिए। यह सौर के लिए पारदर्शी होना चाहिए। लेकिन अगर कोई आपके सिस्टम में आता है, तो उसे सोलर डेटा कॉपी करने में सक्षम नहीं होना चाहिए।

यह भी निष्कर्ष Lucidwors के एरिक एरिक्सन से लेख Encrypting Solr/Lucene indexes अंत

में ड्रॉ संक्षिप्त रूप है कि इस उन विचारों कि जांच के लिए खड़े हो जाओ नहीं है में से एक है है। यदि आप इस स्तर पर सुरक्षा के बारे में चिंतित हैं, तो संभवतः अन्य विकल्पों पर विचार करना सबसे अच्छा है, अपने संचार चैनलों को सार्वजनिक नेटवर्क से भौतिक रूप से तलाक देने के लिए एन्क्रिप्टिंग फ़ाइल सिस्टम का उपयोग करने से सुरक्षित करने के लिए। बेशक, आपको कभी भी कभी नहीं करना चाहिए, अपने काम करने वाले सौर इंस्टॉलेशन को सीधे बाहरी दुनिया से एक्सेस करने दें, बस निम्न पर विचार करें: http://server:port/solr/update?stream.body=<delete><query>*:*</query></delete>!