Базовая безопасность и аутентификация для asticsearch?

У меня (наконец-то) есть рабочая конфигурация эластичного поиска, обеспечивающая поиск по всему сайту, реализованный в стеке MEAN с использованием пакетов nongoose, mongoosastic и asticsearch npm, если это имеет значение.

Служба asticsearch работает на удаленном сервере, на котором работает узел на 4200, отвечает на https на 80, отвечает на все запросы CORS (http.cors.allow-origin : "*") на http порт 9200. Я вполне уверен, что это означает, что в настоящее время у меня нулевая безопасность.

Очевидно, я запускаю свое приложение с окном поиска по всему сайту на localhost, поэтому клиент Angularasticsearch подключается к удаленному серверу. Поле поиска доступно только после входа в систему, аутентифицированного в MongoDB, но приложение доступно из любого места в Интернете, поэтому ограничение http.cors.allow-origin на мой домен только не вариант (или я ошибаюсь?)

от asticsearch.yml:

http.cors.enabled : true

http.cors.allow-origin : "*"
http.cors.allow-methods : OPTIONS,HEAD,GET,POST,PUT,DELETE
http.cors.allow-headers : X-Requested-With,X-Auth-Token,Content-Type,Content-Length

Каков мой следующий шаг для реализации некоторой базовой безопасности? Я нашел ресурсы, предлагающие "хаки", такие как обратный прокси-сервер nginx, который не будет разрешен на рассматриваемом сервере по оперативным причинам. Конечно, есть лучшая практика, которая включает в себя только модификацию config эластичного поиска или использование какого-либо плагина? Спасибо, что помогли мне указать правильное направление.