Sicherheit für S3-Clients
Änderungen vorschlagen
PDFs
StorageGRID-Mandantenkonten verwenden S3-Client-Applikationen, um Objektdaten in StorageGRID zu speichern. Überprüfen Sie die Sicherheitsmaßnahmen, die für Client-Anwendungen implementiert wurden.
Zusammenfassung
In der folgenden Liste wird zusammengefasst, wie Sicherheit für die S3-REST-API implementiert wird:
- Verbindungssicherheit
-
TLS
- Serverauthentifizierung
-
X.509-Serverzertifikat, das von der System-CA oder vom Administrator zur Verfügung gestellten benutzerdefinierten Serverzertifikat unterzeichnet wurde
- Client-Authentifizierung
-
Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel für das S3-Konto
- Client-Autorisierung
-
Eigentümerschaft von Buckets und alle anwendbaren Zugriffssteuerungsrichtlinien
Wie StorageGRID Sicherheit für Client-Anwendungen bietet
S3-Client-Applikationen können sich mit dem Load Balancer-Service auf Gateway-Nodes oder Admin-Nodes oder direkt mit Storage-Nodes verbinden.
-
Clients, die sich mit dem Load Balancer-Dienst verbinden, können HTTPS oder HTTP verwenden, je nachdem, wie Sie "Konfigurieren Sie den Endpunkt des Load Balancer".
HTTPS bietet eine sichere, TLS-verschlüsselte Kommunikation und wird empfohlen. Sie müssen dem Endpunkt ein Sicherheitszertifikat hinzufügen.
HTTP bietet eine weniger sichere, unverschlüsselte Kommunikation und sollte nur für nicht-Produktions- oder Testraster verwendet werden.
-
Clients, die eine Verbindung zu Storage Nodes herstellen, können auch HTTPS oder HTTP verwenden.
HTTPS ist der Standardwert und wird empfohlen.
HTTP bietet eine weniger sichere, unverschlüsselte Kommunikation, kann aber optional "Aktiviert" für nicht-Produktions- oder Testraster eingesetzt werden.
-
Die Kommunikation zwischen StorageGRID und dem Client wird über TLS verschlüsselt.
-
Die Kommunikation zwischen dem Load Balancer-Service und den Speicherknoten innerhalb des Grid wird verschlüsselt, ob der Load Balancer-Endpunkt für die Annahme von HTTP- oder HTTPS-Verbindungen konfiguriert ist.
-
Clients müssen an StorageGRID bereitstellen"HTTP-Authentifizierungsheader", um REST-API-Operationen durchführen zu können.
Sicherheitszertifikate und Clientanwendungen
Clientanwendungen können in jedem Fall TLS-Verbindungen herstellen, indem sie entweder ein vom Grid-Administrator hochgeladenes benutzerdefiniertes Serverzertifikat oder ein vom StorageGRID-System generiertes Zertifikat verwenden:
-
Wenn Clientanwendungen eine Verbindung zum Load Balancer-Dienst herstellen, verwenden sie das Zertifikat, das für den Load Balancer-Endpunkt konfiguriert wurde. Jeder Load Balancer-Endpunkt hat sein eigenes Zertifikat—entweder ein vom Grid-Administrator hochgeladenes benutzerdefiniertes Serverzertifikat oder ein Zertifikat, das der Grid-Administrator beim Konfigurieren des Endpunkts in StorageGRID generiert hat.
-
Wenn Client-Anwendungen eine direkte Verbindung zu einem Speicher-Node herstellen, verwenden sie entweder die vom System generierten Serverzertifikate, die bei der Installation des StorageGRID-Systems für Speicher-Nodes generiert wurden (die von der Systemzertifikatbehörde signiert werden). Oder ein einzelnes benutzerdefiniertes Serverzertifikat, das von einem Grid-Administrator für das Grid bereitgestellt wird. Siehe "Fügen Sie ein benutzerdefiniertes S3-API-Zertifikat hinzu".
Die Clients sollten so konfiguriert werden, dass sie der Zertifizierungsstelle vertrauen, die unabhängig davon, welches Zertifikat sie zum Erstellen von TLS-Verbindungen verwenden, unterzeichnet hat.
Unterstützte Hashing- und Verschlüsselungsalgorithmen für TLS-Bibliotheken
Das StorageGRID-System unterstützt eine Reihe von Cipher-Suites, die Client-Anwendungen beim Einrichten einer TLS-Sitzung verwenden können. Um Chiffren zu konfigurieren, gehen Sie zu CONFIGURATION > Security > Security settings und wählen TLS und SSH Policies aus.
Unterstützte Versionen von TLS
StorageGRID unterstützt TLS 1.2 und TLS 1.3.
|
SSLv3 und TLS 1.1 (oder frühere Versionen) werden nicht mehr unterstützt. |