Configuration de la sécurité pour l'API REST
Il est recommandé de passer en revue les mesures de sécurité mises en œuvre pour l'API REST et de comprendre comment sécuriser votre système.
Comment StorageGRID assure la sécurité pour l'API REST
Vous devez comprendre comment le système StorageGRID implémente la sécurité, l'authentification et l'autorisation pour l'API REST.
StorageGRID utilise les mesures de sécurité suivantes.
-
Les communications client avec le service Load Balancer utilisent HTTPS si HTTPS est configuré pour le noeud final Load Balancer.
Lorsque vous configurez un point final d'équilibreur de charge, HTTP peut éventuellement être activé. Par exemple, vous pouvez utiliser HTTP à des fins de test ou autres que la production. Pour plus d'informations, reportez-vous aux instructions d'administration de StorageGRID.
-
Par défaut, StorageGRID utilise HTTPS pour les communications client avec les nœuds de stockage et le service CLB sur les nœuds de passerelle.
HTTP peut éventuellement être activé pour ces connexions. Par exemple, vous pouvez utiliser HTTP à des fins de test ou autres que la production. Pour plus d'informations, reportez-vous aux instructions d'administration de StorageGRID.
Le service CLB est obsolète. -
Les communications entre StorageGRID et le client sont chiffrées à l'aide de TLS.
-
Les communications entre le service Load Balancer et les nœuds de stockage dans la grille sont cryptées que le terminal de l'équilibreur de charge soit configuré pour accepter les connexions HTTP ou HTTPS.
-
Les clients doivent fournir des en-têtes d'authentification HTTP à StorageGRID pour effectuer des opérations d'API REST.
Certificats de sécurité et applications client
Les clients peuvent se connecter au service Load Balancer sur les nœuds de passerelle ou les nœuds d'administration, directement aux nœuds de stockage ou au service CLB sur les nœuds de passerelle.
Dans tous les cas, les applications client peuvent établir des connexions TLS à l'aide d'un certificat de serveur personnalisé chargé par l'administrateur de la grille ou d'un certificat généré par le système StorageGRID :
-
Lorsque les applications client se connectent au service Load Balancer, elles le font à l'aide du certificat configuré pour le noeud final de l'équilibreur de charge spécifique utilisé pour établir la connexion. Chaque noeud final possède son propre certificat, qui est soit un certificat de serveur personnalisé chargé par l'administrateur de la grille, soit un certificat que l'administrateur de la grille a généré dans StorageGRID lors de la configuration du noeud final.
-
Lorsque les applications client se connectent directement à un nœud de stockage ou au service CLB des nœuds de passerelle, elles utilisent soit les certificats de serveur générés par le système pour les nœuds de stockage lorsque le système StorageGRID a été installé (qui sont signés par l'autorité de certification du système), ou un seul certificat de serveur personnalisé fourni par un administrateur de grid pour la grille.
Les clients doivent être configurés pour approuver l'autorité de certification qui a signé le certificat qu'ils utilisent pour établir des connexions TLS.
Pour plus d'informations sur la configuration des noeuds finaux de l'équilibreur de charge et pour obtenir des instructions sur l'ajout d'un certificat de serveur personnalisé pour les connexions TLS directement aux noeuds de stockage ou au service CLB sur les noeuds de passerelle, reportez-vous aux instructions de la section Administration de StorageGRID.
Récapitulatif
Le tableau suivant montre comment les problèmes de sécurité sont implémentés dans les API REST S3 et Swift :
Problème de sécurité | Implémentation pour l'API REST |
---|---|
Sécurité de la connexion |
TLS |
Authentification du serveur |
Certificat de serveur X.509 signé par l'autorité de certification du système ou certificat de serveur personnalisé fourni par l'administrateur |
Authentification client |
|
Autorisation du client |
|
Algorithmes de hachage et de cryptage pris en charge pour les bibliothèques TLS
Le système StorageGRID prend en charge un ensemble limité de suites de chiffrement que les applications clientes peuvent utiliser lors de l'établissement d'une session TLS (transport Layer Security).
Versions supportées de TLS
StorageGRID supporte TLS 1.2 et TLS 1.3.
SSLv3 et TLS 1.1 (ou versions antérieures) ne sont plus pris en charge. |
Suites de chiffrement prises en charge
Version TLS | Nom IANA de la suite de chiffrement |
---|---|
1.2 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
1.2 |
TLS_ECDHE_RSA_WITH_CHA20_POLY1305_SHA256 |
1.2 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
1.3 |
TLS_AES_256_GCM_SHA384 |
1.3 |
TLS_CHA20_POLY1305_SHA256 |
1.3 |
TLS_AES_128_GCM_SHA256 |
Suites de chiffrement obsolètes
Les suites de chiffrement suivantes sont obsolètes. La prise en charge de ces chiffrements sera supprimée dans une prochaine version.
Nom IANA |
---|
TLS_RSA_WAS_AES_128_GCM_SHA256 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |