Configurar la seguridad para la API DE REST
Debe revisar las medidas de seguridad implementadas para la API REST y entender cómo proteger el sistema.
Cómo proporciona StorageGRID seguridad para la API DE REST
Debe entender cómo el sistema StorageGRID implementa la seguridad, la autenticación y la autorización para la API DE REST.
StorageGRID usa las siguientes medidas de seguridad.
-
Las comunicaciones de cliente con el servicio Load Balancer utilizan HTTPS si HTTPS está configurado para el extremo de equilibrio de carga.
Al configurar un extremo de equilibrio de carga, HTTP se puede habilitar opcionalmente. Por ejemplo, puede usar HTTP para pruebas u otros fines que no sean de producción. Consulte las instrucciones para administrar StorageGRID si desea obtener más información.
-
De forma predeterminada, StorageGRID utiliza HTTPS para las comunicaciones del cliente con los nodos de almacenamiento y el servicio CLB en los nodos de puerta de enlace.
Opcionalmente, HTTP se puede habilitar para estas conexiones. Por ejemplo, puede usar HTTP para pruebas u otros fines que no sean de producción. Consulte las instrucciones para administrar StorageGRID si desea obtener más información.
El servicio CLB está obsoleto. -
Las comunicaciones entre StorageGRID y el cliente se cifran mediante TLS.
-
Las comunicaciones entre el servicio Load Balancer y los nodos de almacenamiento de la cuadrícula están cifradas si el extremo de equilibrio de carga está configurado para aceptar conexiones HTTP o HTTPS.
-
Los clientes deben proporcionar encabezados de autenticación HTTP a StorageGRID para realizar operaciones de API DE REST.
Certificados de seguridad y aplicaciones cliente
Los clientes pueden conectarse al servicio Load Balancer en los nodos de Gateway o de administrador, directamente a los nodos de almacenamiento o al servicio CLB en los nodos de Gateway.
En todos los casos, las aplicaciones cliente pueden realizar conexiones TLS mediante un certificado de servidor personalizado cargado por el administrador de grid o un certificado generado por el sistema StorageGRID:
-
Cuando las aplicaciones cliente se conectan al servicio Load Balancer, lo hacen utilizando el certificado que se configuró para el extremo de equilibrio de carga específico utilizado para realizar la conexión. Cada extremo tiene su propio certificado, que es un certificado de servidor personalizado cargado por el administrador de grid o un certificado que el administrador de grid generó en StorageGRID al configurar el extremo.
-
Cuando las aplicaciones cliente se conectan directamente a un nodo de almacenamiento o al servicio CLB en los nodos de puerta de enlace, utilizan los certificados de servidor generados por el sistema que se generaron para los nodos de almacenamiento cuando se instaló el sistema StorageGRID (firmados por la autoridad de certificación del sistema), o un único certificado de servidor personalizado que un administrador de grid suministra para la cuadrícula.
Los clientes deben configurarse para que confíen en la entidad emisora de certificados que firmó el certificado que utilicen para establecer conexiones TLS.
Consulte las instrucciones para administrar StorageGRID para obtener información sobre la configuración de extremos de equilibrador de carga y para obtener instrucciones sobre cómo agregar un único certificado de servidor personalizado para conexiones TLS directamente a nodos de almacenamiento o al servicio CLB en nodos de puerta de enlace.
Resumen
En la siguiente tabla, se muestra cómo se implementan los problemas de seguridad en las API DE REST de S3 y Swift:
Problema de seguridad | Implementación de la API DE REST |
---|---|
Seguridad de la conexión |
TLS |
Autenticación del servidor |
Certificado de servidor X.509 firmado por CA del sistema o certificado de servidor personalizado suministrado por el administrador |
Autentificación de clientes |
|
Autorización de cliente |
|
Algoritmos de cifrado y hash compatibles para bibliotecas TLS
El sistema StorageGRID admite un conjunto limitado de conjuntos de cifrado que las aplicaciones cliente pueden utilizar al establecer una sesión de seguridad de la capa de transporte (TLS).
Versiones compatibles de TLS
StorageGRID admite TLS 1.2 y TLS 1.3.
SSLv3 y TLS 1.1 (o versiones anteriores) ya no son compatibles. |
Paquetes de cifrado compatibles
Versión TLS | Nombre IANA de conjunto cifrado |
---|---|
1.2 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_RSA_WITH_CHA20_POLY1305_SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
1.3 |
TLS_AES_256_GCM_SHA384 |
TLS_CHA20_POLY1305_SHA256 |
TLS_AES_128_GCM_SHA256 |
Suites de cifrado obsoletas
Los siguientes conjuntos de cifrado están desaprobados. La compatibilidad con estos cifrados se eliminará en una versión futura.
Nombre de IANA |
---|
TLS_RSA_WITH_AES_128_GCM_SHA256 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |