Sicherheit für S3-Clients
Änderungen vorschlagen
PDFs
StorageGRID Mandantenkonten verwenden S3-Clientanwendungen, um Objektdaten in StorageGRID zu speichern. Sie sollten die für Clientanwendungen implementierten Sicherheitsmaßnahmen überprüfen.
Zusammenfassung
Die folgende Liste fasst zusammen, wie die Sicherheit für die S3 REST API implementiert wird:
- Verbindungssicherheit
-
TLS
- Serverauthentifizierung
-
Von der Systemzertifizierungsstelle signiertes X.509-Serverzertifikat oder vom Administrator bereitgestelltes benutzerdefiniertes Serverzertifikat
- Client-Authentifizierung
-
S3-Kontozugriffsschlüssel-ID und geheimer Zugriffsschlüssel
- Client-Autorisierung
-
Bucket-Eigentümerschaft und alle geltenden Zugriffskontrollrichtlinien
So bietet StorageGRID Sicherheit für Clientanwendungen
S3-Clientanwendungen können eine Verbindung zum Load Balancer-Dienst auf Gateway-Knoten oder Admin-Knoten oder direkt zu Speicherknoten herstellen.
-
Clients, die eine Verbindung zum Load Balancer-Dienst herstellen, können HTTPS oder HTTP verwenden, je nachdem, wie Sie"Konfigurieren Sie den Load Balancer-Endpunkt" .
HTTPS bietet eine sichere, TLS-verschlüsselte Kommunikation und wird empfohlen. Sie müssen dem Endpunkt ein Sicherheitszertifikat beifügen.
HTTP bietet eine weniger sichere, unverschlüsselte Kommunikation und sollte nur für Nicht-Produktions- oder Test-Grids verwendet werden.
-
Clients, die eine Verbindung zu Speicherknoten herstellen, können auch HTTPS oder HTTP verwenden.
HTTPS ist die Standardeinstellung und wird empfohlen.
HTTP bietet eine weniger sichere, unverschlüsselte Kommunikation, kann aber optional"ermöglicht" für Nicht-Produktions- oder Testnetze.
-
Die Kommunikation zwischen StorageGRID und dem Client wird mit TLS verschlüsselt.
-
Die Kommunikation zwischen dem Load Balancer-Dienst und den Speicherknoten innerhalb des Grids wird verschlüsselt, unabhängig davon, ob der Load Balancer-Endpunkt für die Annahme von HTTP- oder HTTPS-Verbindungen konfiguriert ist.
-
Kunden müssen liefern"HTTP-Authentifizierungsheader" zu StorageGRID , um REST-API-Operationen durchzuführen.
Sicherheitszertifikate und Clientanwendungen
In allen Fällen können Clientanwendungen TLS-Verbindungen herstellen, indem sie entweder ein vom Grid-Administrator hochgeladenes benutzerdefiniertes Serverzertifikat oder ein vom StorageGRID System generiertes Zertifikat verwenden:
-
Wenn Clientanwendungen eine Verbindung zum Load Balancer-Dienst herstellen, verwenden sie das Zertifikat, das für den Load Balancer-Endpunkt konfiguriert wurde. Jeder Load Balancer-Endpunkt verfügt über ein eigenes Zertifikat – entweder ein benutzerdefiniertes Serverzertifikat, das vom Grid-Administrator hochgeladen wurde, oder ein Zertifikat, das der Grid-Administrator beim Konfigurieren des Endpunkts in StorageGRID generiert hat.
-
Wenn Clientanwendungen eine direkte Verbindung zu einem Speicherknoten herstellen, verwenden sie entweder die vom System generierten Serverzertifikate, die bei der Installation des StorageGRID -Systems für Speicherknoten generiert wurden (und von der Systemzertifizierungsstelle signiert sind), oder ein einzelnes benutzerdefiniertes Serverzertifikat, das von einem Grid-Administrator für das Grid bereitgestellt wird. Sehen "Fügen Sie ein benutzerdefiniertes S3-API-Zertifikat hinzu" .
Clients sollten so konfiguriert werden, dass sie der Zertifizierungsstelle vertrauen, die das von ihnen zum Herstellen von TLS-Verbindungen verwendete Zertifikat signiert hat.
Unterstützte Hashing- und Verschlüsselungsalgorithmen für TLS-Bibliotheken
Das StorageGRID -System unterstützt eine Reihe von Verschlüsselungssammlungen, die Clientanwendungen beim Herstellen einer TLS-Sitzung verwenden können. Um Verschlüsselungen zu konfigurieren, gehen Sie zu KONFIGURATION > Sicherheit > Sicherheitseinstellungen und wählen Sie TLS- und SSH-Richtlinien.
Unterstützte Versionen von TLS
StorageGRID unterstützt TLS 1.2 und TLS 1.3.
|
SSLv3 und TLS 1.1 (oder frühere Versionen) werden nicht mehr unterstützt. |