Skip to main content
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren Sie die Sicherheit für DIE REST-API

Beitragende

Sie sollten die für DIE REST API implementierten Sicherheitsmaßnahmen überprüfen und verstehen, wie Sie Ihr System sichern können.

So bietet StorageGRID Sicherheit für REST-API

Sie sollten verstehen, wie das StorageGRID System die Sicherheit, Authentifizierung und Autorisierung für DIE REST-API implementiert.

StorageGRID setzt die folgenden Sicherheitsmaßnahmen ein.

  • Die Client-Kommunikation mit dem Load Balancer-Service erfolgt über HTTPS, wenn HTTPS für den Load Balancer-Endpunkt konfiguriert ist.

    Wenn Sie einen Endpunkt für den Load Balancer konfigurieren, kann HTTP optional aktiviert werden. Möglicherweise möchten Sie beispielsweise HTTP für Tests oder andere Zwecke verwenden, die nicht aus der Produktion stammen. Weitere Informationen finden Sie in den Anweisungen zum Verwalten von StorageGRID.

  • Standardmäßig verwendet StorageGRID HTTPS für die Client-Kommunikation mit Speicherknoten und den CLB-Service auf Gateway-Knoten.

    HTTP kann optional für diese Verbindungen aktiviert werden. Möglicherweise möchten Sie beispielsweise HTTP für Tests oder andere Zwecke verwenden, die nicht aus der Produktion stammen. Weitere Informationen finden Sie in den Anweisungen zum Verwalten von StorageGRID.

    Hinweis Der CLB-Service ist veraltet.
  • Die Kommunikation zwischen StorageGRID und dem Client wird über TLS verschlüsselt.

  • Die Kommunikation zwischen dem Load Balancer-Service und den Speicherknoten innerhalb des Grid wird verschlüsselt, ob der Load Balancer-Endpunkt für die Annahme von HTTP- oder HTTPS-Verbindungen konfiguriert ist.

  • Clients müssen HTTP-Authentifizierungskopfzeilen an StorageGRID bereitstellen, um REST-API-Vorgänge durchzuführen.

Sicherheitszertifikate und Clientanwendungen

Clients können eine Verbindung zum Lastverteilungsservice auf Gateway-Knoten oder Admin-Nodes, direkt zu Storage-Nodes oder zum CLB-Dienst auf Gateway-Nodes herstellen.

Clientanwendungen können in jedem Fall TLS-Verbindungen herstellen, indem sie entweder ein vom Grid-Administrator hochgeladenes benutzerdefiniertes Serverzertifikat oder ein vom StorageGRID-System generiertes Zertifikat verwenden:

  • Wenn Client-Anwendungen eine Verbindung zum Load Balancer-Service herstellen, verwenden sie dazu das Zertifikat, das für den spezifischen Load Balancer-Endpunkt konfiguriert wurde, der für die Verbindung verwendet wurde. Jeder Endpunkt verfügt über ein eigenes Zertifikat, entweder ein vom Grid-Administrator hochgeladenes benutzerdefiniertes Serverzertifikat oder ein Zertifikat, das der Grid-Administrator bei der Konfiguration des Endpunkts in StorageGRID generiert hat.

  • Wenn Client-Anwendungen eine direkte Verbindung zu einem Speicherknoten oder zum CLB-Dienst auf Gateway-Knoten herstellen, verwenden sie entweder die vom System generierten Serverzertifikate, die bei der Installation des StorageGRID-Systems (die von der Systemzertifikatbehörde signiert sind) für Speicherknoten generiert wurden. Oder ein einzelnes benutzerdefiniertes Serverzertifikat, das von einem Grid-Administrator für das Grid bereitgestellt wird.

Die Clients sollten so konfiguriert werden, dass sie der Zertifizierungsstelle vertrauen, die unabhängig davon, welches Zertifikat sie zum Erstellen von TLS-Verbindungen verwenden, unterzeichnet hat.

Informationen StorageGRID zum Konfigurieren von Load Balancer-Endpunkten finden Sie in den Anweisungen zum Hinzufügen eines einzelnen benutzerdefinierten Serverzertifikats für TLS-Verbindungen direkt zu Storage-Nodes oder zum CLB-Dienst auf Gateway-Nodes.

Zusammenfassung

Die folgende Tabelle zeigt, wie Sicherheitsprobleme in den S3 und Swift REST-APIs implementiert werden:

Sicherheitsproblem Implementierung für REST-API

Verbindungssicherheit

TLS

Serverauthentifizierung

X.509-Serverzertifikat, das von der System-CA oder vom Administrator zur Verfügung gestellten benutzerdefinierten Serverzertifikat unterzeichnet wurde

Client-Authentifizierung

  • S3: S3-Konto (Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel)

  • Swift: Swift-Konto (Benutzername und Passwort)

Client-Autorisierung

  • S3: Bucket-Eigentümerschaft und alle anwendbaren Richtlinien für die Zugriffssteuerung

  • Swift: Administratorrollenzugriff

Verwandte Informationen

StorageGRID verwalten

Unterstützte Hashing- und Verschlüsselungsalgorithmen für TLS-Bibliotheken

Das StorageGRID System unterstützt eine begrenzte Anzahl von Chiffren-Suites, die Client-Anwendungen beim Einrichten einer TLS-Sitzung (Transport Layer Security) verwenden können.

Unterstützte Versionen von TLS

StorageGRID unterstützt TLS 1.2 und TLS 1.3.

Wichtig SSLv3 und TLS 1.1 (oder frühere Versionen) werden nicht mehr unterstützt.

Unterstützte Chiffren-Suiten

TLS-Version IANA Name der Chiffre Suite

1.2

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

1.2

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

1.2

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

1.3

TLS_AES_256_GCM_SHA384

1.3

TLS_CHACHA20_POLY1305_SHA256

1.3

TLS_AES_128_GCM_SHA256

Veraltete Chiffre-Suiten

Die folgenden Chiffren Suiten sind veraltet. Die Unterstützung für diese Chiffren wird in einer zukünftigen Version entfernt.

IANA-Name

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384