Konfigurieren Sie die Sicherheit für DIE REST-API
Sie sollten die für DIE REST API implementierten Sicherheitsmaßnahmen überprüfen und verstehen, wie Sie Ihr System sichern können.
So bietet StorageGRID Sicherheit für REST-API
Sie sollten verstehen, wie das StorageGRID System die Sicherheit, Authentifizierung und Autorisierung für DIE REST-API implementiert.
StorageGRID setzt die folgenden Sicherheitsmaßnahmen ein.
-
Die Client-Kommunikation mit dem Load Balancer-Service erfolgt über HTTPS, wenn HTTPS für den Load Balancer-Endpunkt konfiguriert ist.
Wenn Sie einen Endpunkt für den Load Balancer konfigurieren, kann HTTP optional aktiviert werden. Möglicherweise möchten Sie beispielsweise HTTP für Tests oder andere Zwecke verwenden, die nicht aus der Produktion stammen. Weitere Informationen finden Sie in den Anweisungen zum Verwalten von StorageGRID.
-
Standardmäßig verwendet StorageGRID HTTPS für die Client-Kommunikation mit Speicherknoten und den CLB-Service auf Gateway-Knoten.
HTTP kann optional für diese Verbindungen aktiviert werden. Möglicherweise möchten Sie beispielsweise HTTP für Tests oder andere Zwecke verwenden, die nicht aus der Produktion stammen. Weitere Informationen finden Sie in den Anweisungen zum Verwalten von StorageGRID.
Der CLB-Service ist veraltet. -
Die Kommunikation zwischen StorageGRID und dem Client wird über TLS verschlüsselt.
-
Die Kommunikation zwischen dem Load Balancer-Service und den Speicherknoten innerhalb des Grid wird verschlüsselt, ob der Load Balancer-Endpunkt für die Annahme von HTTP- oder HTTPS-Verbindungen konfiguriert ist.
-
Clients müssen HTTP-Authentifizierungskopfzeilen an StorageGRID bereitstellen, um REST-API-Vorgänge durchzuführen.
Sicherheitszertifikate und Clientanwendungen
Clients können eine Verbindung zum Lastverteilungsservice auf Gateway-Knoten oder Admin-Nodes, direkt zu Storage-Nodes oder zum CLB-Dienst auf Gateway-Nodes herstellen.
Clientanwendungen können in jedem Fall TLS-Verbindungen herstellen, indem sie entweder ein vom Grid-Administrator hochgeladenes benutzerdefiniertes Serverzertifikat oder ein vom StorageGRID-System generiertes Zertifikat verwenden:
-
Wenn Client-Anwendungen eine Verbindung zum Load Balancer-Service herstellen, verwenden sie dazu das Zertifikat, das für den spezifischen Load Balancer-Endpunkt konfiguriert wurde, der für die Verbindung verwendet wurde. Jeder Endpunkt verfügt über ein eigenes Zertifikat, entweder ein vom Grid-Administrator hochgeladenes benutzerdefiniertes Serverzertifikat oder ein Zertifikat, das der Grid-Administrator bei der Konfiguration des Endpunkts in StorageGRID generiert hat.
-
Wenn Client-Anwendungen eine direkte Verbindung zu einem Speicherknoten oder zum CLB-Dienst auf Gateway-Knoten herstellen, verwenden sie entweder die vom System generierten Serverzertifikate, die bei der Installation des StorageGRID-Systems (die von der Systemzertifikatbehörde signiert sind) für Speicherknoten generiert wurden. Oder ein einzelnes benutzerdefiniertes Serverzertifikat, das von einem Grid-Administrator für das Grid bereitgestellt wird.
Die Clients sollten so konfiguriert werden, dass sie der Zertifizierungsstelle vertrauen, die unabhängig davon, welches Zertifikat sie zum Erstellen von TLS-Verbindungen verwenden, unterzeichnet hat.
Informationen StorageGRID zum Konfigurieren von Load Balancer-Endpunkten finden Sie in den Anweisungen zum Hinzufügen eines einzelnen benutzerdefinierten Serverzertifikats für TLS-Verbindungen direkt zu Storage-Nodes oder zum CLB-Dienst auf Gateway-Nodes.
Zusammenfassung
Die folgende Tabelle zeigt, wie Sicherheitsprobleme in den S3 und Swift REST-APIs implementiert werden:
Sicherheitsproblem | Implementierung für REST-API |
---|---|
Verbindungssicherheit |
TLS |
Serverauthentifizierung |
X.509-Serverzertifikat, das von der System-CA oder vom Administrator zur Verfügung gestellten benutzerdefinierten Serverzertifikat unterzeichnet wurde |
Client-Authentifizierung |
|
Client-Autorisierung |
|
Unterstützte Hashing- und Verschlüsselungsalgorithmen für TLS-Bibliotheken
Das StorageGRID System unterstützt eine begrenzte Anzahl von Chiffren-Suites, die Client-Anwendungen beim Einrichten einer TLS-Sitzung (Transport Layer Security) verwenden können.
Unterstützte Versionen von TLS
StorageGRID unterstützt TLS 1.2 und TLS 1.3.
SSLv3 und TLS 1.1 (oder frühere Versionen) werden nicht mehr unterstützt. |
Unterstützte Chiffren-Suiten
TLS-Version | IANA Name der Chiffre Suite |
---|---|
1.2 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
1.2 |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
1.2 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
1.3 |
TLS_AES_256_GCM_SHA384 |
1.3 |
TLS_CHACHA20_POLY1305_SHA256 |
1.3 |
TLS_AES_128_GCM_SHA256 |
Veraltete Chiffre-Suiten
Die folgenden Chiffren Suiten sind veraltet. Die Unterstützung für diese Chiffren wird in einer zukünftigen Version entfernt.
IANA-Name |
---|
TLS_RSA_WITH_AES_128_GCM_SHA256 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |