Instructions de renforcement pour TLS et SSH
Suggérer des modifications
PDF
Vous devez contrôler l’accès SSH, remplacer les certificats TLS par défaut et sélectionner la politique de sécurité appropriée pour les connexions TLS et SSH.
Directives de renforcement des certificats
Vous devez remplacer les certificats par défaut créés lors de l'installation par vos propres certificats personnalisés.
Pour de nombreuses organisations, le certificat numérique auto-signé pour l'accès au Web StorageGRID n'est pas conforme à leurs politiques de sécurité de l'information. Sur les systèmes de production, vous devez installer un certificat numérique signé par une autorité de certification pour l'authentification de StorageGRID.
Plus précisément, vous devez utiliser des certificats de serveur personnalisés au lieu de ces certificats par défaut :
-
Certificat d'interface de gestion : utilisé pour sécuriser l'accès au Grid Manager, au tenant Manager, à l'API Grid Management et à l'API tenant Management.
-
Certificat API S3 : utilisé pour sécuriser l'accès aux nœuds de stockage et aux nœuds de passerelle, que les applications clientes S3 utilisent pour télécharger et télécharger des données d'objet.
Voir "Gérer les certificats de sécurité" pour plus de détails et d'instructions.
|
StorageGRID gère séparément les certificats utilisés pour les terminaux de l'équilibreur de charge. Pour configurer les certificats d'équilibreur de charge, reportez-vous à "Configurer les terminaux de l'équilibreur de charge"la section . |
Lorsque vous utilisez des certificats de serveur personnalisés, suivez les instructions suivantes :
-
Les certificats doivent avoir un
subjectAltNamequi correspond aux entrées DNS pour StorageGRID. Pour plus de détails, reportez-vous à la section 4.2.1.6, « Nom alternatif du sujet », dans "RFC 5280 : certificat PKIX et profil CRL". -
Si possible, évitez d'utiliser des certificats génériques. À l'exception de cette règle, le certificat d'un terminal de type hébergement virtuel S3 nécessite l'utilisation d'un caractère générique si les noms de compartiment ne sont pas connus à l'avance.
-
Lorsque vous devez utiliser des caractères génériques dans les certificats, vous devez prendre des mesures supplémentaires pour réduire les risques. Utilisez un modèle générique tel que
*.s3.example.com, et n'utilisez pas les3.example.comsuffixe pour d'autres applications. Ce schéma fonctionne également avec l'accès S3 de style chemin d'accès, tel quedc1-s1.s3.example.com/mybucket. -
Définissez les délais d'expiration du certificat sur court (par exemple, 2 mois) et utilisez l'API Grid Management pour automatiser la rotation des certificats. Ceci est particulièrement important pour les certificats génériques.
En outre, les clients doivent utiliser un contrôle strict du nom d'hôte lors de la communication avec StorageGRID.
Directives de renforcement pour les règles TLS et SSH
Vous pouvez sélectionner une stratégie de sécurité pour déterminer quels protocoles et chiffrements sont utilisés pour établir des connexions TLS sécurisées avec les applications client et des connexions SSH sécurisées avec les services StorageGRID internes.
La politique de sécurité contrôle la manière dont TLS et SSH chiffrent les données en mouvement. En tant que bonne pratique, vous devez désactiver les options de chiffrement qui ne sont pas nécessaires à la compatibilité des applications. Utilisez la politique moderne par défaut, sauf si votre système doit être conforme aux critères communs, à la norme FIPS 140-2 ou si vous devez utiliser d'autres chiffrements.
Voir "Gestion des règles TLS et SSH" pour plus de détails et d'instructions.
Gérer l'accès SSH externe
Pour améliorer la sécurité du système, l'accès SSH externe est bloqué par défaut. Activez l’accès SSH uniquement lorsque vous devez effectuer des tâches nécessitant un accès SSH entrant, comme le dépannage. Se référer à"Gérer l'accès SSH externe" pour plus de détails et d'instructions.