Skip to main content
How to enable StorageGRID in your environment
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Funciones de seguridad de acceso a los datos

Colaboradores

Obtenga más información sobre las funciones de seguridad del acceso a los datos en StorageGRID.

Función Función Impacto Cumplimiento de normativas

Seguridad de la capa de transporte configurable (TLS)

TLS establece un protocolo de apretón de manos para la comunicación entre un cliente y un nodo de pasarela StorageGRID, un nodo de almacenamiento o un extremo del balanceador de carga.

StorageGRID admite los siguientes conjuntos de cifrado para TLS:

  • TLS_AES_256_GCM_SHA384

  • TLS_AES_128_GCM_SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • TLS_AES_256_GCM_SHA384

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES256-GCM-SHA384

  • AES256-GCM-SHA384

  • AES128-GCM-SHA256

  • TLS_CHACHA20_POLY1305_SHA256

  • ECDHE-ECDSA-CHACHA20-POLY1305

  • ECDHE-RSA-CHACHA20-POLY1305

Compatibilidad con TLS v1,2 y 1,3.

SSLv3, TLS v1,1 y versiones anteriores ya no son compatibles.

Permite que un cliente y StorageGRID se identifiquen y autentiquen entre sí y se comuniquen con confidencialidad e integridad de los datos. Garantiza el uso de una versión de TLS reciente. Los cifrados ahora se pueden configurar en la configuración de configuración/seguridad

 — 

Certificado de servidor configurable (punto final del equilibrador de carga)

Los administradores de grid pueden configurar puntos finales del equilibrador de carga para generar o utilizar un certificado de servidor.

Permite el uso de certificados digitales firmados por su entidad de certificación (CA) de confianza estándar para autenticar las operaciones de API de objetos entre grid y cliente por punto final de equilibrador de carga.

 — 

Certificado de servidor configurable (extremo de API)

Los administradores de grid pueden configurar de forma centralizada todos los puntos finales de la API de StorageGRID para que utilicen un certificado de servidor firmado por la CA de confianza de su organización.

Permite el uso de certificados digitales firmados por su CA de confianza estándar para autenticar operaciones de API de objetos entre un cliente y el grid.

 — 

Multi-tenancy

StorageGRID admite varios inquilinos por grid, cada cliente cuenta con su propio espacio de nombres. Un inquilino proporciona un protocolo S3; de forma predeterminada, el acceso a bloques/contenedores y objetos está restringido a los usuarios de la cuenta. Los inquilinos pueden tener un usuario (por ejemplo, un despliegue empresarial, en el que cada usuario tiene su propia cuenta) o varios usuarios (por ejemplo, un despliegue de proveedor de servicios, en el que cada cuenta es una empresa y un cliente del proveedor de servicios). Los usuarios pueden ser locales o federados; los usuarios federados los define Active Directory o el protocolo ligero de acceso a directorios (LDAP). StorageGRID ofrece una consola por inquilino, en la que los usuarios inician sesión con las credenciales de cuentas locales o federadas. Los usuarios pueden acceder a informes visualizados sobre el uso de los inquilinos respecto de la cuota asignada por el administrador de grid, incluida la información de uso en datos y objetos almacenados por bloques. Los usuarios con permiso administrativo pueden llevar a cabo tareas de administración del sistema a nivel de inquilino, como gestionar usuarios y grupos y claves de acceso.

Permite que los administradores de StorageGRID alojen datos de varios inquilinos aislando el acceso de los inquilinos y establecer la identidad de usuario mediante la federación de usuarios con un proveedor de identidades externo, como Active Directory o LDAP.

Normativa SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regla 4511(c)

No rechazo de credenciales de acceso

Cada operación de S3 se identifica y se registra con una cuenta de inquilino, un usuario y una clave de acceso únicos.

Permite a los administradores de Grid establecer qué acciones de API realizan cada persona.

 — 

Acceso anónimo deshabilitado

De forma predeterminada, el acceso anónimo está desactivado para las cuentas S3. Un solicitante debe tener una credencial de acceso válida para un usuario válido en la cuenta de inquilino para acceder a depósitos, contenedores u objetos dentro de la cuenta. El acceso anónimo a bloques u objetos de S3 se puede habilitar con una política de IAM explícita.

Permite a los administradores de Grid desactivar o controlar el acceso anónimo a bloques/contenedores y objetos.

 — 

WORM de cumplimiento de normativas

Diseñado para cumplir con los requisitos de la normativa SEC 17a-4(f) y validado por Cohasset. Los clientes pueden habilitar el cumplimiento de normativas a nivel del bucket. La retención se puede ampliar pero nunca se puede reducir. Las reglas de gestión de la vida útil de la información (ILM) aplican niveles de protección de datos mínimos.

Permite a los inquilinos con requisitos de retención de datos normativos para habilitar la protección WORM en los objetos almacenados y los metadatos de objetos.

Normativa SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regla 4511(c)

GUSANO

Los administradores de grid pueden habilitar WORM en toda la cuadrícula habilitando la opción Disable Client Modify, que impide que los clientes sobrescriban o eliminen objetos o metadatos de objetos en todas las cuentas de inquilino.

S3 Los administradores de inquilinos también pueden habilitar WORM por inquilino, bloque o prefijo de objeto especificando la política de IAM, que incluye el permiso personalizado S3: PutOverwriteObject para la sobrescritura de objetos y metadatos.

Permite que los administradores de Grid y los administradores de inquilinos controlen la protección WORM en los objetos almacenados y los metadatos de objetos.

Normativa SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regla 4511(c)

Gestión de claves de cifrado del servidor host KM

Los administradores de grid pueden configurar uno o varios servidores de gestión de claves externos (KMS) en Grid Manager para proporcionar claves de cifrado para servicios de StorageGRID y aplicaciones de almacenamiento. Cada servidor de host KMS o clúster de servidores de host KMS utiliza el protocolo de interoperabilidad de gestión de claves (KMIP) para proporcionar una clave de cifrado a los nodos del dispositivo en el sitio de StorageGRID asociado.

Se logra el cifrado de los datos en reposo. Una vez cifrados los volúmenes del dispositivo, no puede acceder a ningún dato del dispositivo a menos que el nodo se pueda comunicar con el servidor host KMS.

Normativa SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regla 4511(c)

Recuperación automatizada tras fallos

StorageGRID proporciona redundancia incorporada y conmutación por error automatizada. El acceso a las cuentas, los bloques y los objetos de inquilino puede continuar incluso si hay varios fallos, desde discos o nodos a sitios enteros. StorageGRID tiene en cuenta recursos y redirige automáticamente las solicitudes a los nodos y las ubicaciones de datos disponibles. Los sitios StorageGRID incluso pueden funcionar en modo interno; si una interrupción en WAN desconecta un sitio del resto del sistema, las operaciones de lectura y escritura pueden continuar con los recursos locales y la replicación se reanuda automáticamente cuando se restaura la WAN.

Permite a los administradores de Grid abordar el tiempo de actividad, los acuerdos de nivel de servicios y otras obligaciones contractuales, así como implementar planes de continuidad empresarial.

 — 

Características de seguridad de acceso a datos específicas de S3

AWS Signature versión 2 y versión 4

Las solicitudes de API de firma proporcionan autenticación para las operaciones de API de S3. Amazon admite dos versiones de Signature Version 2 y 4. El proceso de firma verifica la identidad del solicitante, protege los datos en tránsito y protege contra posibles ataques de repetición.

Se alinea con la recomendación de AWS para la versión de firma 4 y permite la compatibilidad con versiones anteriores con aplicaciones anteriores con la versión de firma 2.

 — 

Bloqueo de objetos de S3

La función Bloqueo de objetos S3 de StorageGRID es una solución de protección de objetos equivalente a Bloqueo de objetos S3 en Amazon S3.

Permite a los inquilinos crear buckets con S3 Object Lock habilitado para cumplir con las regulaciones que requieren que ciertos objetos se conserven durante un período de tiempo fijo o indefinidamente.

Normativa SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regla 4511(c)

Almacenamiento seguro de credenciales S3

Las claves de acceso S3 se almacenan en un formato protegido por una función de hash de contraseña (SHA-2).

Permite el almacenamiento seguro de claves de acceso mediante una combinación de longitud de clave (un número generado aleatoriamente 1031) y un algoritmo de hash de contraseña.

 — 

Teclas de acceso S3 con límite de tiempo

Al crear una clave de acceso S3 para un usuario, los clientes pueden establecer una fecha y hora de caducidad en la clave de acceso.

Ofrece a los administradores de Grid la opción de aprovisionar claves de acceso S3 temporales.

 — 

Múltiples claves de acceso por cuenta de usuario

StorageGRID permite crear varias claves de acceso y estar activas simultáneamente para una cuenta de usuario. Dado que cada acción de API se registra con una cuenta de usuario de inquilino y una clave de acceso, el no repudio se conserva a pesar de que hay varias claves activas.

Permite a los clientes rotar las claves de acceso sin interrupciones y permite que cada cliente tenga su propia clave, lo que desalienta el uso compartido de claves entre los clientes.

 — 

S3 Política de acceso de IAM

StorageGRID admite políticas de IAM S3, lo que permite a los administradores de Grid especificar control de acceso granular por inquilino, bloque o prefijo de objeto. StorageGRID también admite condiciones y variables de política de IAM, lo que permite políticas de control de acceso más dinámicas.

Permite a los administradores de Grid especificar el control de acceso por grupos de usuarios para todo el inquilino; también permite a los usuarios inquilinos especificar el control de acceso para sus propios bloques y objetos.

 — 

Cifrado del lado del servidor con claves gestionadas por StorageGRID (SSE)

StorageGRID admite SSE, lo que permite la protección multitenant de datos en reposo con claves de cifrado gestionadas por StorageGRID.

Permite a los inquilinos cifrar objetos. Se necesita una clave de cifrado para escribir y recuperar estos objetos.

Normativa SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regla 4511(c)

Cifrado del lado del servidor con claves de cifrado proporcionadas por el cliente (SSE-C)

StorageGRID admite SSE-C, lo que permite la protección multitenant de los datos en reposo con claves de cifrado gestionadas por el cliente.

Aunque StorageGRID gestiona todas las operaciones de cifrado y descifrado de objetos, con SSE-C, el cliente debe gestionar las claves de cifrado por sí mismo.

Permite a los clientes cifrar los objetos con claves que controlan. Se necesita una clave de cifrado para escribir y recuperar estos objetos.