Usar certificados de seguridad StorageGRID
Los certificados de seguridad son archivos de datos pequeños que se utilizan para crear conexiones seguras y de confianza entre componentes de StorageGRID y entre componentes de StorageGRID y sistemas externos.
StorageGRID utiliza dos tipos de certificados de seguridad:
-
Se requieren certificados de servidor cuando se utilizan conexiones HTTPS. Los certificados de servidor se utilizan para establecer conexiones seguras entre clientes y servidores, autenticar la identidad de un servidor a sus clientes y proporcionar una ruta de comunicación segura para los datos. Cada servidor y el cliente tienen una copia del certificado.
-
Los certificados de cliente autentican una identidad de cliente o usuario al servidor, proporcionando una autenticación más segura que las contraseñas solamente. Los certificados de cliente no cifran datos.
Cuando un cliente se conecta al servidor mediante HTTPS, el servidor responde con el certificado de servidor, que contiene una clave pública. El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión con el servidor utilizando la misma clave pública.
StorageGRID funciona como servidor para algunas conexiones (como el extremo de equilibrio de carga) o como cliente para otras conexiones (como el servicio de replicación de CloudMirror).
Una entidad de certificación externa (CA) puede emitir certificados personalizados que cumplan plenamente con las políticas de seguridad de la información de su empresa. StorageGRID también incluye una entidad de certificación (CA) integrada que genera certificados de CA internos durante la instalación del sistema. Estos certificados de CA internos se utilizan, de forma predeterminada, para proteger el tráfico StorageGRID interno. Si bien se pueden utilizar los certificados de CA internos para un entorno que no sea de producción, la práctica recomendada para un entorno de producción es usar certificados personalizados firmados por una entidad de certificación externa. Las conexiones no seguras que no tienen ningún certificado también se admiten, pero no se recomienda.
-
Los certificados de CA personalizados no quitan los certificados internos; sin embargo, los certificados personalizados deben ser los especificados para verificar las conexiones del servidor.
-
Todos los certificados personalizados deben cumplir las directrices de endurecimiento del sistema para los certificados de servidor.
-
StorageGRID admite la agrupación de certificados de una CA en un único archivo (conocido como paquete de certificados de CA).
StorageGRID también incluye certificados de CA del sistema operativo que son los mismos en todos los entornos Grid. En los entornos de producción, asegúrese de especificar un certificado personalizado firmado por una entidad de certificación externa en lugar del certificado de CA del sistema operativo. |
Las variantes de los tipos de certificado de servidor y cliente se implementan de varias maneras. Es necesario tener preparados todos los certificados necesarios para la configuración específica de StorageGRID antes de configurar el sistema.
Certificado | Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|---|
Certificado de cliente de administrador |
Cliente |
Instalado en cada cliente, lo que permite que StorageGRID autentique el acceso de los clientes externos.
|
Configuración > Control de acceso > certificados de cliente |
|
Certificado de federación de identidades |
Servidor |
Autentica la conexión entre StorageGRID y un Active Directory, OpenLDAP o Oracle Directory Server externo.used for Identity federation, que permite que los grupos y usuarios de administración sean administrados por un sistema externo. |
Configuración > Control de acceso > Federación de identidades |
|
Certificado de inicio de sesión único (SSO) |
Servidor |
Autentica la conexión entre Active Directory Federation Services (AD FS) y StorageGRID que se utiliza para solicitudes de inicio de sesión único (SSO). |
Configuración > Control de acceso > Inicio de sesión único |
|
Certificado de servidor de gestión de claves (KMS) |
Servidor y cliente |
Autentica la conexión entre StorageGRID y un servidor de gestión de claves (KMS) externo, que proporciona claves de cifrado a los nodos de los dispositivos StorageGRID. |
Configuración > Configuración del sistema > servidor de administración de claves |
|
Certificado de notificación de alertas por correo electrónico |
Servidor y cliente |
Autentica la conexión entre un servidor de correo electrónico SMTP y una StorageGRID que se usa para notificaciones de alerta.
|
Alertas > Configuración de correo electrónico |
|
Certificado de punto final de equilibrador de carga |
Servidor |
Autentica la conexión entre clientes S3 o Swift y el servicio StorageGRID Load Balancer en nodos de puerta de enlace o nodos de administrador. Se carga o se genera un certificado de equilibrador de carga cuando se configura un extremo de equilibrador de carga.las aplicaciones cliente utilizan el certificado de equilibrador de carga al conectarse a StorageGRID para guardar y recuperar datos de objeto. Nota: el certificado de equilibrador de carga es el certificado más utilizado durante el funcionamiento normal de StorageGRID. |
Configuración > Configuración de red > parámetros de equilibrio de carga |
|
Certificado de servidor de interfaz de gestión |
Servidor |
Autentica la conexión entre los exploradores web del cliente y la interfaz de gestión de StorageGRID, lo que permite a los usuarios acceder a Grid Manager y al Gestor de inquilinos sin advertencias de seguridad. Este certificado también autentica las conexiones API de gestión de grid y API de gestión de inquilinos. Puede usar el certificado de CA interno o cargar un certificado personalizado. |
Configuración > Configuración de red > certificados de servidor |
|
Certificado de extremo de Cloud Storage Pool |
Servidor |
Autentica la conexión de Cloud Storage Pool de StorageGRID a una ubicación de almacenamiento externa (como S3 Glacier o almacenamiento blob de Microsoft Azure). Se necesita un certificado diferente para cada tipo de proveedor de cloud. |
ILM > agrupaciones de almacenamiento |
|
Certificado de extremo de servicios de plataforma |
Servidor |
Autentica la conexión desde el servicio de plataforma StorageGRID a un recurso de almacenamiento S3. |
Administrador de inquilinos > ALMACENAMIENTO (S3) > terminales de servicios de plataforma |
|
Certificado de servidor de extremo de servicio de Object Storage API |
Servidor |
Autentica conexiones de cliente Swift o S3 seguras con el servicio LDR (Local Distribution Router, LDR) en un nodo de almacenamiento o con el servicio Connection Load Balancer (CLB) obsoleto en un nodo de puerta de enlace. |
Configuración > Configuración de red > parámetros de equilibrio de carga |
Ejemplo 1: Servicio de equilibrador de carga
En este ejemplo, StorageGRID actúa como servidor.
-
Se configura un extremo de equilibrador de carga y se carga o genera un certificado de servidor en StorageGRID.
-
Debe configurar una conexión de cliente S3 o Swift al extremo de equilibrio de carga y cargar el mismo certificado en el cliente.
-
Cuando el cliente desea guardar o recuperar datos, se conecta al extremo de equilibrio de carga mediante HTTPS.
-
StorageGRID responde con el certificado de servidor, que contiene una clave pública y una firma basada en la clave privada.
-
El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión utilizando la misma clave pública.
-
El cliente envía datos de objeto a StorageGRID.
Ejemplo 2: Servidor de gestión de claves externo (KMS)
En este ejemplo, StorageGRID actúa como cliente.
-
Con el software de servidor de gestión de claves externo, configura StorageGRID como un cliente KMS y obtiene un certificado de servidor firmado por CA, un certificado de cliente público y la clave privada del certificado de cliente.
-
Con el Administrador de grid, configura un servidor KMS y carga los certificados de servidor y cliente y la clave privada de cliente.
-
Cuando un nodo StorageGRID necesita una clave de cifrado, realiza una solicitud al servidor KMS que incluye datos del certificado y una firma basada en la clave privada.
-
El servidor KMS valida la firma del certificado y decide que puede confiar en StorageGRID.
-
El servidor KMS responde mediante la conexión validada.