Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Härtungsrichtlinien für TLS und SSH

PDFs

Sie sollten die während der Installation erstellten Standardzertifikate ersetzen und die entsprechende Sicherheitsrichtlinie für TLS- und SSH-Verbindungen auswählen.

Härtungsrichtlinien für Zertifikate

Sie sollten die während der Installation erstellten Standardzertifikate durch Ihre eigenen benutzerdefinierten Zertifikate ersetzen.

Bei vielen Organisationen entspricht das selbstsignierte digitale Zertifikat für den StorageGRID Webzugriff nicht ihren Informationssicherheitsrichtlinien. Auf Produktionssystemen sollten Sie ein von einer Zertifizierungsstelle signiertes digitales Zertifikat zur Authentifizierung von StorageGRID installieren.

Insbesondere sollten Sie benutzerdefinierte Serverzertifikate anstelle dieser Standardzertifikate verwenden:

  • Management-Schnittstellenzertifikat: Wird verwendet, um den Zugriff auf den Grid Manager, den Tenant Manager, die Grid Management API und die Tenant Management API zu sichern.

  • S3-API-Zertifikat: Wird verwendet, um den Zugriff auf Speicherknoten und Gateway-Knoten zu sichern, die von S3-Clientanwendungen zum Hoch- und Herunterladen von Objektdaten verwendet werden.

Sehen"Sicherheitszertifikate verwalten" für Details und Anweisungen.

Hinweis StorageGRID verwaltet die für Load Balancer-Endpunkte verwendeten Zertifikate separat. Informationen zum Konfigurieren von Load Balancer-Zertifikaten finden Sie unter"Konfigurieren von Load Balancer-Endpunkten" .

Beachten Sie bei der Verwendung benutzerdefinierter Serverzertifikate die folgenden Richtlinien:

  • Zertifikate sollten eine subjectAltName das mit den DNS-Einträgen für StorageGRID übereinstimmt. Weitere Einzelheiten finden Sie in Abschnitt 4.2.1.6, „Alternativer Betreffname“, in "RFC 5280: PKIX-Zertifikat und CRL-Profil" .

  • Vermeiden Sie nach Möglichkeit die Verwendung von Platzhalterzertifikaten. Eine Ausnahme von dieser Richtlinie ist das Zertifikat für einen virtuell gehosteten S3-Endpunkt, bei dem die Verwendung eines Platzhalters erforderlich ist, wenn die Bucket-Namen nicht im Voraus bekannt sind.

  • Wenn Sie in Zertifikaten Platzhalter verwenden müssen, sollten Sie zusätzliche Schritte unternehmen, um die Risiken zu verringern. Verwenden Sie ein Platzhaltermuster wie *.s3.example.com und verwenden Sie nicht die s3.example.com Suffix für andere Anwendungen. Dieses Muster funktioniert auch mit S3-Zugriff im Pfadstil, wie z. B. dc1-s1.s3.example.com/mybucket .

  • Legen Sie kurze Ablaufzeiten für Zertifikate fest (z. B. 2 Monate) und verwenden Sie die Grid Management API, um die Zertifikatrotation zu automatisieren. Dies ist besonders wichtig für Wildcard-Zertifikate.

Darüber hinaus sollten Clients bei der Kommunikation mit StorageGRID eine strenge Hostnamenprüfung durchführen.

Härtungsrichtlinien für TLS- und SSH-Richtlinien

Sie können eine Sicherheitsrichtlinie auswählen, um zu bestimmen, welche Protokolle und Verschlüsselungen zum Herstellen sicherer TLS-Verbindungen mit Clientanwendungen und sicherer SSH-Verbindungen zu internen StorageGRID Diensten verwendet werden.

Die Sicherheitsrichtlinie steuert, wie TLS und SSH übertragene Daten verschlüsseln. Als bewährte Methode sollten Sie Verschlüsselungsoptionen deaktivieren, die für die Anwendungskompatibilität nicht erforderlich sind. Verwenden Sie die standardmäßige moderne Richtlinie, es sei denn, Ihr System muss Common Criteria-kompatibel sein oder Sie müssen andere Chiffren verwenden.

Sehen"Verwalten der TLS- und SSH-Richtlinie" für Details und Anweisungen.