Подходы Elasticsearch к безопасности

Я имею в виду этот вопрос как обсуждение. Я ищу какое-то обоснование для выбора подхода, который будет использоваться для аутентификации доступа и шифрования трафика в наш кластер asticsearch на AWS и из него.

Я сталкивался с 3 методами:

1. NGINX на каждом узле - для управления SSL и обеспечения аутентификации
2. Shield + SSL-шифрование устанавливается на каждом узле в соответствии с рекомендациями Elastic.co.
3. Аутентификация на каждом узле (Shield или сторонний) + шифрование SSL с использованием Elastic Load Balancer (ELB). Таким образом, все запросы клиентов к кластеру ES проходят через ELB.

Третий метод интересен тем, что есть один узел для настройки шифрования SSL и сертификат. Методы 1 и 2 требуют отдельной настройки на каждом новом узле.

Однако, по моему опыту, трудно подключить клиентский API Java (который работает на основе пользовательского TCP) к экземпляру ES через ELB.

Какой здесь прецедент? Кроме того, какие соображения я мог пропустить?

На основании результатов поиска Google, метод 3 кажется наиболее редким. Метод 1, кажется, несколько популярен.