Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Utilizzo dei certificati di sicurezza StorageGRID

Collaboratori
PDF

I certificati di sicurezza sono piccoli file di dati utilizzati per creare connessioni sicure e affidabili tra i componenti di StorageGRID e tra i componenti di StorageGRID e i sistemi esterni.

StorageGRID utilizza due tipi di certificati di sicurezza:

  • I certificati server sono richiesti quando si utilizzano connessioni HTTPS. I certificati del server vengono utilizzati per stabilire connessioni sicure tra client e server, autenticando l'identità di un server nei suoi client e fornendo un percorso di comunicazione sicuro per i dati. Il server e il client dispongono di una copia del certificato.

  • Certificati client autenticano un'identità del client o dell'utente sul server, fornendo un'autenticazione più sicura rispetto alle sole password. I certificati client non crittografano i dati.

Quando un client si connette al server utilizzando HTTPS, il server risponde con il certificato del server, che contiene una chiave pubblica. Il client verifica questo certificato confrontando la firma del server con la firma sulla copia del certificato. Se le firme corrispondono, il client avvia una sessione con il server utilizzando la stessa chiave pubblica.

StorageGRID funziona come server per alcune connessioni (come l'endpoint del bilanciamento del carico) o come client per altre connessioni (come il servizio di replica di CloudMirror).

Un'autorità di certificazione esterna (CA) può emettere certificati personalizzati pienamente conformi ai criteri di sicurezza delle informazioni dell'organizzazione. StorageGRID include anche un'autorità di certificazione (CA) incorporata che genera certificati CA interni durante l'installazione del sistema. Questi certificati CA interni vengono utilizzati, per impostazione predefinita, per proteggere il traffico StorageGRID interno. Sebbene sia possibile utilizzare i certificati CA interni per un ambiente non di produzione, la procedura consigliata per un ambiente di produzione consiste nell'utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna. Sono supportate anche le connessioni non protette senza certificato, ma non sono consigliate.

  • I certificati CA personalizzati non rimuovono i certificati interni; tuttavia, i certificati personalizzati devono essere quelli specificati per la verifica delle connessioni al server.

  • Tutti i certificati personalizzati devono soddisfare le linee guida per la protezione avanzata del sistema per i certificati server.

    "Protezione avanzata del sistema"

  • StorageGRID supporta il raggruppamento di certificati da una CA in un singolo file (noto come bundle di certificati CA).

Nota StorageGRID include anche certificati CA del sistema operativo che sono gli stessi su tutte le griglie. Negli ambienti di produzione, assicurarsi di specificare un certificato personalizzato firmato da un'autorità di certificazione esterna al posto del certificato CA del sistema operativo.

Le varianti dei tipi di certificato server e client vengono implementate in diversi modi. Prima di configurare il sistema, è necessario disporre di tutti i certificati necessari per la configurazione specifica di StorageGRID.

Certificato Tipo di certificato Descrizione Posizione di navigazione Dettagli

Certificato del client di amministratore

Client

Installato su ciascun client, consentendo a StorageGRID di autenticare l'accesso client esterno.

  • Consente ai client esterni autorizzati di accedere al database StorageGRID Prometheus.

  • Consente il monitoraggio sicuro di StorageGRID utilizzando strumenti esterni.

Configurazione controllo accessi certificati client

"Configurazione dei certificati client dell'amministratore"

Certificato di federazione delle identità

Server

Autentica la connessione tra StorageGRID e un server di directory esterno, OpenLDAP o Oracle. Utilizzato per la federazione delle identità, che consente la gestione di gruppi di amministratori e utenti da parte di un sistema esterno.

Configurazione controllo accessi Federazione identità

"Utilizzo della federazione delle identità"

Certificato SSO (Single Sign-on)

Server

Autentica la connessione tra servizi di federazione Active Directory (ad FS) e StorageGRID utilizzata per le richieste SSO (Single Sign-on).

Configurazione controllo accessi Single Sign-on

"Configurazione del single sign-on"

Certificato del Key Management Server (KMS)

Server e client

Autentica la connessione tra StorageGRID e un KMS (Key Management Server) esterno, che fornisce chiavi di crittografia ai nodi appliance StorageGRID.

Configurazione Impostazioni di sistema Server di gestione delle chiavi

"Aggiunta di un server di gestione delle chiavi (KMS)"

Certificato di notifica degli avvisi via email

Server e client

Autentica la connessione tra un server e-mail SMTP e StorageGRID utilizzato per le notifiche degli avvisi.

  • Se le comunicazioni con il server SMTP richiedono TLS (Transport Layer Security), è necessario specificare il certificato CA del server di posta elettronica.

  • Specificare un certificato client solo se il server di posta SMTP richiede certificati client per l'autenticazione.

Avvisi Configurazione e-mail

"Monitor risoluzione dei problemi"

Certificato endpoint per il bilanciamento del carico

Server

Autentica la connessione tra i client S3 o Swift e il servizio bilanciamento del carico StorageGRID sui nodi gateway o sui nodi di amministrazione. Quando si configura un endpoint di bilanciamento del carico, si carica o genera un certificato di bilanciamento del carico.le applicazioni client utilizzano il certificato di bilanciamento del carico quando si effettua la connessione a StorageGRID per salvare e recuperare i dati degli oggetti.

Nota: il certificato di bilanciamento del carico è il certificato più utilizzato durante il normale funzionamento StorageGRID.

Configurazione Impostazioni di rete endpoint del bilanciamento del carico

Certificato del server dell'interfaccia di gestione

Server

Autentica la connessione tra i browser Web client e l'interfaccia di gestione di StorageGRID, consentendo agli utenti di accedere a Grid Manager e Tenant Manager senza avvisi di sicurezza.

Questo certificato autentica anche le connessioni API Grid Management e API Tenant Management.

È possibile utilizzare il certificato CA interno o caricare un certificato personalizzato.

Configurazione Impostazioni di rete certificati server

Certificato endpoint Cloud Storage Pool

Server

Autentica la connessione dal pool di storage cloud di StorageGRID a una posizione di storage esterna (ad esempio, lo storage S3 Glacier o Microsoft Azure Blob). Per ogni tipo di cloud provider è necessario un certificato diverso.

ILM Storage Pools

"Gestire gli oggetti con ILM"

Certificato endpoint dei servizi di piattaforma

Server

Autentica la connessione dal servizio della piattaforma StorageGRID a una risorsa di storage S3.

Tenant Manager STORAGE (S3) endpoint dei servizi della piattaforma

"Utilizzare un account tenant"

Object Storage API Service Endpoint Server Certificate

Server

Autentica le connessioni client protette S3 o Swift al servizio LDR (Local Distribution Router) su un nodo di storage o al servizio CLB (Connection Load Balancer) obsoleto su un nodo gateway.

Configurazione Impostazioni di rete endpoint del bilanciamento del carico

"Configurazione di un certificato server personalizzato per le connessioni al nodo di storage o al servizio CLB"

Esempio 1: Servizio di bilanciamento del carico

In questo esempio, StorageGRID agisce come server.

  1. È possibile configurare un endpoint di bilanciamento del carico e caricare o generare un certificato server in StorageGRID.

  2. È possibile configurare una connessione client S3 o Swift all'endpoint del bilanciamento del carico e caricare lo stesso certificato nel client.

  3. Quando il client desidera salvare o recuperare i dati, si connette all'endpoint del bilanciamento del carico utilizzando HTTPS.

  4. StorageGRID risponde con il certificato del server, che contiene una chiave pubblica, e con una firma basata sulla chiave privata.

  5. Il client verifica questo certificato confrontando la firma del server con la firma sulla copia del certificato. Se le firme corrispondono, il client avvia una sessione utilizzando la stessa chiave pubblica.

  6. Il client invia i dati dell'oggetto a StorageGRID.

Esempio 2: Server KMS (Key Management Server) esterno

In questo esempio, StorageGRID agisce come client.

  1. Utilizzando il software del server di gestione delle chiavi esterno, è possibile configurare StorageGRID come client KMS e ottenere un certificato server con firma CA, un certificato client pubblico e la chiave privata per il certificato client.

  2. Utilizzando Grid Manager, è possibile configurare un server KMS e caricare i certificati server e client e la chiave privata del client.

  3. Quando un nodo StorageGRID necessita di una chiave di crittografia, effettua una richiesta al server KMS che include i dati del certificato e una firma basata sulla chiave privata.

  4. Il server KMS convalida la firma del certificato e decide che può fidarsi di StorageGRID.

  5. Il server KMS risponde utilizzando la connessione validata.