Administrar certificados de seguridad
Los certificados de seguridad son pequeños archivos de datos que se utilizan para crear conexiones seguras y confiables entre los componentes de StorageGRID y entre los componentes de StorageGRID y sistemas externos.
StorageGRID utiliza dos tipos de certificados de seguridad:
-
Se requieren certificados de servidor cuando se utilizan conexiones HTTPS. Los certificados de servidor se utilizan para establecer conexiones seguras entre clientes y servidores, autenticando la identidad de un servidor ante sus clientes y proporcionando una ruta de comunicación segura para los datos. Tanto el servidor como el cliente tienen una copia del certificado.
-
Los certificados de cliente autentican la identidad de un cliente o usuario en el servidor, proporcionando una autenticación más segura que las contraseñas solas. Los certificados de cliente no cifran los datos.
Cuando un cliente se conecta al servidor mediante HTTPS, el servidor responde con el certificado del servidor, que contiene una clave pública. El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión con el servidor utilizando la misma clave pública.
StorageGRID funciona como servidor para algunas conexiones (como el punto final del equilibrador de carga) o como cliente para otras conexiones (como el servicio de replicación CloudMirror).
Certificado CA de Grid predeterminado
StorageGRID incluye una autoridad de certificación (CA) incorporada que genera un certificado CA de Grid interno durante la instalación del sistema. El certificado CA de Grid se utiliza, de forma predeterminada, para proteger el tráfico interno de StorageGRID . Una autoridad de certificación (CA) externa puede emitir certificados personalizados que cumplan totalmente con las políticas de seguridad de la información de su organización. Si bien puede utilizar el certificado CA de Grid para un entorno que no sea de producción, la mejor práctica para un entorno de producción es utilizar certificados personalizados firmados por una autoridad de certificación externa. También se admiten conexiones no seguras sin certificado, pero no se recomiendan.
-
Los certificados CA personalizados no eliminan los certificados internos; sin embargo, los certificados personalizados deben ser los especificados para verificar las conexiones del servidor.
-
Todos los certificados personalizados deben cumplir con los"Pautas de fortalecimiento del sistema para certificados de servidor" .
-
StorageGRID admite la agrupación de certificados de una CA en un solo archivo (conocido como paquete de certificados de CA).
|
StorageGRID también incluye certificados CA del sistema operativo que son los mismos en todas las redes. En entornos de producción, asegúrese de especificar un certificado personalizado firmado por una autoridad de certificación externa en lugar del certificado CA del sistema operativo. |
Las variantes de los tipos de certificado de servidor y cliente se implementan de varias maneras. Debe tener todos los certificados necesarios para su configuración específica de StorageGRID listos antes de configurar el sistema.
Certificados de seguridad de acceso
Puede acceder a información sobre todos los certificados StorageGRID en una sola ubicación, junto con enlaces al flujo de trabajo de configuración para cada certificado.
-
Desde Grid Manager, seleccione CONFIGURACIÓN > Seguridad > Certificados.
-
Seleccione una pestaña en la página Certificados para obtener información sobre cada categoría de certificado y acceder a la configuración del certificado. Puedes acceder a una pestaña si tienes la"permiso apropiado" .
-
Global: protege el acceso a StorageGRID desde navegadores web y clientes API externos.
-
Grid CA: protege el tráfico interno de StorageGRID .
-
Cliente: protege las conexiones entre clientes externos y la base de datos StorageGRID Prometheus.
-
Puntos finales del balanceador de carga: protege las conexiones entre los clientes S3 y el balanceador de carga StorageGRID .
-
Inquilinos: protege las conexiones a servidores de federación de identidad o desde puntos finales de servicio de la plataforma a recursos de almacenamiento S3.
-
Otro: Protege las conexiones StorageGRID que requieren certificados específicos.
A continuación se describe cada pestaña con enlaces a detalles adicionales del certificado.
GlobalLos certificados globales protegen el acceso a StorageGRID desde navegadores web y clientes API S3 externos. La autoridad de certificación StorageGRID genera inicialmente dos certificados globales durante la instalación. La mejor práctica para un entorno de producción es utilizar certificados personalizados firmados por una autoridad de certificación externa.
-
Certificado de interfaz de gestión:Asegura las conexiones del navegador web del cliente a las interfaces de administración de StorageGRID .
-
Certificado API S3:Asegura las conexiones de API de cliente a los nodos de almacenamiento, nodos de administración y nodos de puerta de enlace, que las aplicaciones de cliente S3 utilizan para cargar y descargar datos de objetos.
La información sobre los certificados globales que están instalados incluye:
-
Nombre: Nombre del certificado con enlace para administrar el certificado.
-
Descripción
-
Tipo: Personalizado o predeterminado. + Siempre debe utilizar un certificado personalizado para mejorar la seguridad de la red.
-
Fecha de vencimiento: si se utiliza el certificado predeterminado, no se muestra ninguna fecha de vencimiento.
Puede:
-
Reemplace los certificados predeterminados con certificados personalizados firmados por una autoridad de certificación externa para mejorar la seguridad de la red:
-
"Reemplazar el certificado de interfaz de administración generado por StorageGRID predeterminado"Se utiliza para conexiones de Grid Manager y Tenant Manager.
-
"Reemplazar el certificado de API S3"Se utiliza para conexiones de nodo de almacenamiento y punto final del equilibrador de carga (opcional).
-
-
"Restaurar el certificado de interfaz de administración predeterminado" .
-
"Utilice un script para generar un nuevo certificado de interfaz de administración autofirmado" .
-
Copiar o descargar el"certificado de interfaz de gestión" o"Certificado API S3" .
Red CAElCertificado de CA de Grid , generado por la autoridad de certificación de StorageGRID durante la instalación de StorageGRID , protege todo el tráfico interno de StorageGRID .
La información del certificado incluye la fecha de vencimiento del certificado y el contenido del certificado.
Puede"copiar o descargar el certificado de Grid CA" , pero no puedes cambiarlo.
ClienteCertificados de cliente, generado por una autoridad de certificación externa, protege las conexiones entre las herramientas de monitoreo externas y la base de datos StorageGRID Prometheus.
La tabla de certificados tiene una fila para cada certificado de cliente configurado e indica si el certificado se puede usar para acceder a la base de datos de Prometheus, junto con la fecha de vencimiento del certificado.
Puede:
-
Seleccione un nombre de certificado para mostrar los detalles del certificado donde podrá:
-
Seleccione Acciones para acceder rápidamente"editar" ,"adjuntar" , o"eliminar" un certificado de cliente. Puede seleccionar hasta 10 certificados de cliente y eliminarlos a la vez usando Acciones > Eliminar.
Puntos finales del balanceador de cargaCertificados de punto final del balanceador de cargaAsegure las conexiones entre los clientes S3 y el servicio StorageGRID Load Balancer en los nodos de puerta de enlace y los nodos de administración.
La tabla de puntos finales del equilibrador de carga tiene una fila para cada punto final del equilibrador de carga configurado e indica si se utiliza el certificado de API S3 global o un certificado de punto final del equilibrador de carga personalizado para el punto final. También se muestra la fecha de vencimiento de cada certificado.
Los cambios en un certificado de punto final pueden tardar hasta 15 minutos en aplicarse a todos los nodos. Puede:
-
"Ver un punto final del balanceador de carga", incluidos los detalles de su certificado.
-
"Especifique un certificado de punto final del equilibrador de carga para FabricPool."
-
"Utilice el certificado API global de S3"en lugar de generar un nuevo certificado de punto final del equilibrador de carga.
InquilinosLos inquilinos pueden utilizarcertificados de servidor de federación de identidad ocertificados de punto final del servicio de plataforma para proteger sus conexiones con StorageGRID.
La tabla de inquilinos tiene una fila para cada inquilino e indica si cada inquilino tiene permiso para usar su propia fuente de identidad o servicios de plataforma.
Puede:
OtroStorageGRID utiliza otros certificados de seguridad para fines específicos. Estos certificados se enumeran por su nombre funcional. Otros certificados de seguridad incluyen:
La información indica el tipo de certificado que utiliza una función y las fechas de vencimiento de sus certificados de servidor y cliente, según corresponda. Al seleccionar un nombre de función, se abre una pestaña del navegador donde puede ver y editar los detalles del certificado.
Solo puede ver y acceder a la información de otros certificados si tiene la"permiso apropiado" . Puede:
-
"Especifique un certificado de grupo de almacenamiento en la nube para S3, C2S S3 o Azure"
-
"Especificar un certificado para notificaciones de alerta por correo electrónico"
-
"Cargar certificados de cliente y servidor del servidor de administración de claves (KMS)"
-
"Especificar manualmente un certificado SSO para una relación de confianza de usuario autenticado"
-
Detalles del certificado de seguridad
A continuación se describe cada tipo de certificado de seguridad, con enlaces a las instrucciones de implementación.
Certificado de interfaz de gestión
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión entre los navegadores web del cliente y la interfaz de administración de StorageGRID , lo que permite a los usuarios acceder a Grid Manager y Tenant Manager sin advertencias de seguridad. Este certificado también autentica las conexiones de la API de administración de red y la API de administración de inquilinos. Puede utilizar el certificado predeterminado creado durante la instalación o cargar un certificado personalizado. |
CONFIGURACIÓN > Seguridad > Certificados, seleccione la pestaña Global y luego seleccione Certificado de interfaz de administración |
Certificado API S3
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica conexiones seguras de cliente S3 a un nodo de almacenamiento y a puntos finales del balanceador de carga (opcional). |
CONFIGURACIÓN > Seguridad > Certificados, seleccione la pestaña Global y luego seleccione Certificado API S3 |
Certificado de CA de Grid
Certificado de cliente administrador
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Cliente |
Se instala en cada cliente, lo que permite que StorageGRID autentique el acceso de clientes externos.
|
CONFIGURACIÓN > Seguridad > Certificados y luego seleccione la pestaña Cliente |
Certificado de punto final del balanceador de carga
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión entre los clientes S3 y el servicio StorageGRID Load Balancer en los nodos de puerta de enlace y los nodos de administración. Puede cargar o generar un certificado de equilibrador de carga cuando configura un punto final de equilibrador de carga. Las aplicaciones cliente utilizan el certificado del equilibrador de carga cuando se conectan a StorageGRID para guardar y recuperar datos de objetos. También puedes utilizar una versión personalizada del globalCertificado API S3 Certificado para autenticar conexiones al servicio Load Balancer. Si el certificado global se utiliza para autenticar las conexiones del balanceador de carga, no es necesario cargar ni generar un certificado separado para cada punto final del balanceador de carga. Nota: El certificado utilizado para la autenticación del equilibrador de carga es el certificado más usado durante el funcionamiento normal de StorageGRID . |
CONFIGURACIÓN > Red > Puntos finales del balanceador de carga |
Certificado de punto final del grupo de almacenamiento en la nube
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión desde un grupo de almacenamiento en la nube StorageGRID a una ubicación de almacenamiento externa, como S3 Glacier o Microsoft Azure Blob Storage. Se requiere un certificado diferente para cada tipo de proveedor de nube. |
ILM > Grupos de almacenamiento |
Certificado de notificación de alerta por correo electrónico
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor y cliente |
Autentica la conexión entre un servidor de correo electrónico SMTP y StorageGRID que se utiliza para notificaciones de alerta.
|
ALERTAS > Configuración de correo electrónico |
Certificado de servidor syslog externo
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión TLS o RELP/TLS entre un servidor syslog externo que registra eventos en StorageGRID. Nota: No se requiere un certificado de servidor syslog externo para conexiones TCP, RELP/TCP y UDP a un servidor syslog externo. |
CONFIGURACIÓN > Monitoreo > Servidor de auditoría y syslog |
Certificado de conexión de federación de red
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor y cliente |
Autenticar y cifrar la información enviada entre el sistema StorageGRID actual y otra red en una conexión de federación de redes. |
CONFIGURACIÓN > Sistema > Federación de red |
Certificado de federación de identidad
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión entre StorageGRID y un proveedor de identidad externo, como Active Directory, OpenLDAP u Oracle Directory Server. Se utiliza para la federación de identidad, que permite que los grupos de administradores y los usuarios sean gestionados por un sistema externo. |
CONFIGURACIÓN > Control de acceso > Federación de identidades |
Certificado de servidor de administración de claves (KMS)
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor y cliente |
Autentica la conexión entre StorageGRID y un servidor de administración de claves externo (KMS), que proporciona claves de cifrado a los nodos del dispositivo StorageGRID . |
CONFIGURACIÓN > Seguridad > Servidor de gestión de claves |
Certificado de punto final de servicios de plataforma
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión del servicio de la plataforma StorageGRID a un recurso de almacenamiento S3. |
Administrador de inquilinos > ALMACENAMIENTO (S3) > Puntos finales de servicios de plataforma |
Certificado de inicio de sesión único (SSO)
Tipo de certificado | Descripción | Ubicación de navegación | Detalles |
---|---|---|---|
Servidor |
Autentica la conexión entre los servicios de federación de identidad, como los Servicios de federación de Active Directory (AD FS) y StorageGRID , que se utilizan para solicitudes de inicio de sesión único (SSO). |
CONFIGURACIÓN > Control de acceso > Inicio de sesión único |
Ejemplos de certificados
Ejemplo 1: Servicio de balanceo de carga
En este ejemplo, StorageGRID actúa como servidor.
-
Configura un punto final del equilibrador de carga y carga o genera un certificado de servidor en StorageGRID.
-
Configura una conexión de cliente S3 al punto final del equilibrador de carga y carga el mismo certificado en el cliente.
-
Cuando el cliente desea guardar o recuperar datos, se conecta al punto final del balanceador de carga mediante HTTPS.
-
StorageGRID responde con el certificado del servidor, que contiene una clave pública, y con una firma basada en la clave privada.
-
El cliente verifica este certificado comparando la firma del servidor con la firma de su copia del certificado. Si las firmas coinciden, el cliente inicia una sesión utilizando la misma clave pública.
-
El cliente envía datos de objetos a StorageGRID.
Ejemplo 2: Servidor de administración de claves externo (KMS)
En este ejemplo, StorageGRID actúa como cliente.
-
Al utilizar el software de servidor de administración de claves externo, configura StorageGRID como un cliente KMS y obtiene un certificado de servidor firmado por una CA, un certificado de cliente público y la clave privada para el certificado de cliente.
-
Con Grid Manager, configura un servidor KMS y carga los certificados del servidor y del cliente y la clave privada del cliente.
-
Cuando un nodo StorageGRID necesita una clave de cifrado, realiza una solicitud al servidor KMS que incluye datos del certificado y una firma basada en la clave privada.
-
El servidor KMS valida la firma del certificado y decide que puede confiar en StorageGRID.
-
El servidor KMS responde utilizando la conexión validada.