Seguridad para los clientes S3 o Swift
Sugerir cambios
PDF
Las cuentas de inquilino de StorageGRID usan aplicaciones cliente S3 o Swift para guardar datos de objetos en StorageGRID. Debe revisar las medidas de seguridad implementadas para las aplicaciones cliente.
Resumen
En la tabla siguiente se resume cómo se implementa la seguridad para las API DE REST DE S3 y Swift:
| Problema de seguridad | Implementación de la API DE REST |
|---|---|
Seguridad de la conexión |
TLS |
Autenticación del servidor |
Certificado de servidor X.509 firmado por CA del sistema o certificado de servidor personalizado suministrado por el administrador |
Autentificación de clientes |
|
Autorización de cliente |
|
Cómo ofrece StorageGRID seguridad a las aplicaciones cliente
Las aplicaciones cliente S3 y Swift pueden conectarse al servicio de Load Balancer en los nodos de pasarela o nodos de administración, o bien directamente a nodos de almacenamiento.
-
Los clientes que se conectan al servicio Load Balancer pueden usar HTTPS o HTTP, según su forma de hacerlo "configure el punto final del equilibrador de carga".
HTTPS proporciona una comunicación segura cifrada con TLS y se recomienda. Debe adjuntar un certificado de seguridad al punto final.
HTTP proporciona una comunicación menos segura y sin cifrar y solo debe utilizarse para redes que no sean de producción o de prueba.
-
Los clientes que se conectan a los nodos de almacenamiento también pueden usar HTTPS o HTTP.
HTTPS es el valor predeterminado y se recomienda.
HTTP proporciona una comunicación menos segura y sin cifrar, pero puede ser opcionalmente "activado" para grids de prueba o de no producción.
-
Las comunicaciones entre StorageGRID y el cliente se cifran mediante TLS.
-
Las comunicaciones entre el servicio Load Balancer y los nodos de almacenamiento de la cuadrícula están cifradas si el extremo de equilibrio de carga está configurado para aceptar conexiones HTTP o HTTPS.
-
Los clientes deben proporcionar encabezados de autenticación HTTP a StorageGRID para realizar operaciones de API DE REST. Consulte "Autenticar solicitudes" y.. "Extremos de API de Swift compatibles".
Certificados de seguridad y aplicaciones cliente
En todos los casos, las aplicaciones cliente pueden realizar conexiones TLS mediante un certificado de servidor personalizado cargado por el administrador de grid o un certificado generado por el sistema StorageGRID:
-
Cuando las aplicaciones cliente se conectan al servicio Load Balancer, utilizan el certificado configurado para el punto final del equilibrio de carga. Cada punto final del equilibrador de carga tiene su propio certificado— un certificado de servidor personalizado cargado por el administrador de grid o un certificado que el administrador de grid generó en StorageGRID al configurar el punto final.
-
Cuando las aplicaciones cliente se conectan directamente a un nodo de almacenamiento, utilizan los certificados de servidor generados por el sistema que se generaron para los nodos de almacenamiento cuando se instaló el sistema StorageGRID (que están firmados por la entidad de certificación del sistema), o bien, un único certificado de servidor personalizado proporcionado para la cuadrícula por un administrador de grid. Consulte "Añada un certificado de API S3 o Swift personalizado".
Los clientes deben configurarse para que confíen en la entidad emisora de certificados que firmó el certificado que utilicen para establecer conexiones TLS.
Algoritmos de cifrado y hash compatibles para bibliotecas TLS
El sistema StorageGRID admite un conjunto de conjuntos de cifrado que las aplicaciones cliente pueden utilizar al establecer una sesión TLS. Para configurar los cifrados, vaya a CONFIGURACIÓN > SEGURIDAD > CONFIGURACIÓN DE SEGURIDAD y seleccione Políticas TLS y SSH.
Versiones compatibles de TLS
StorageGRID admite TLS 1.2 y TLS 1.3.
|
SSLv3 y TLS 1.1 (o versiones anteriores) ya no son compatibles. |