Cifrado de comunicaciones en Splunk
Uno de los puntos mas importante en despliegues de Splunk, y algo que debería ser una costumbre en todos los primeros pasos de despliegues, es la instalación y configuración de certificados.
En toda instalación de Splunk, podríamos distinguir tres puntos donde instalar certificados:
- Web: He llamado así al certificado que publicaremos para acceso de nuestros usuarios, es decir, para que la información entre el navegadores de los usuarios y nuestro SH este cifrada. Este certificado lo configuramos en nuestro web.conf y server.conf. Aquí os dejo unos enlaces donde explica como hacerlo:
- https://docs.splunk.com/Documentation/Splunk/7.2.6/Security/AboutsecuringauthenticationtoSplunkWeb
- https://answers.splunk.com/answers/506572/installing-a-ssl-certificate-in-splunk.html
- Envío de datos al IDX: Por defecto, al información que mandamos a nuestro indexador no va cifrada, para ello tenemos que habilitar en nuestros forwarder y Searh Head que este envío se haga de forma cifrada, para ello tenemos dos opciones, usar los certificados propios que para ello tiene Splunk, enlace aquí de como se hace, o usar unos certificados firmados por nuestra entidad root CA o una externa, para ello os pongo mas enlaces, ya que es un proceso mas largo
- https://docs.splunk.com/Documentation/Splunk/7.2.6/Security/ConfigureSplunkforwardingtousesignedcertificates
- https://answers.splunk.com/answers/7164/how-do-i-set-up-ssl-forwarding-with-new-self-signed-certificates-and-authentication.html
- https://wiki.splunk.com/images/f/fb/SplunkTrustApril-SSLipperySlopeRevisited.pdf
- Por ultimo, Splunk dispone de un certificado autofirmado, para acceder a su Rest API y puerto de gestión, el 8089, en algún tipo de proyectos, nos piden cambiarlo, por uno firmado por una entidad conocida o la propia del cliente, aquí os dejo también como cambiarlo:
En la documentación de Splunk disponemos de mucha información de que y como cifrar la información.
Comentarios
Publicar un comentario