Informazioni sui certificati di sicurezza
Suggerisci modifiche
PDF
I certificati di sicurezza sono piccoli file di dati utilizzati per creare connessioni sicure e affidabili tra i componenti di StorageGRID e tra i componenti di StorageGRID e i sistemi esterni.
StorageGRID utilizza due tipi di certificati di sicurezza:
-
I certificati server sono richiesti quando si utilizzano connessioni HTTPS. I certificati del server vengono utilizzati per stabilire connessioni sicure tra client e server, autenticando l'identità di un server nei suoi client e fornendo un percorso di comunicazione sicuro per i dati. Il server e il client dispongono di una copia del certificato.
-
Certificati client autenticano un'identità del client o dell'utente sul server, fornendo un'autenticazione più sicura rispetto alle sole password. I certificati client non crittografano i dati.
Quando un client si connette al server utilizzando HTTPS, il server risponde con il certificato del server, che contiene una chiave pubblica. Il client verifica questo certificato confrontando la firma del server con la firma sulla copia del certificato. Se le firme corrispondono, il client avvia una sessione con il server utilizzando la stessa chiave pubblica.
StorageGRID funziona come server per alcune connessioni (come l'endpoint del bilanciamento del carico) o come client per altre connessioni (come il servizio di replica di CloudMirror).
Certificato Grid CA predefinito
StorageGRID include un'autorità di certificazione (CA) incorporata che genera un certificato Grid CA interno durante l'installazione del sistema. Il certificato Grid CA viene utilizzato, per impostazione predefinita, per proteggere il traffico StorageGRID interno. Un'autorità di certificazione esterna (CA) può emettere certificati personalizzati pienamente conformi ai criteri di sicurezza delle informazioni dell'organizzazione. Sebbene sia possibile utilizzare il certificato Grid CA per un ambiente non di produzione, la procedura consigliata per un ambiente di produzione consiste nell'utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna. Sono supportate anche le connessioni non protette senza certificato, ma non sono consigliate.
-
I certificati CA personalizzati non rimuovono i certificati interni; tuttavia, i certificati personalizzati devono essere quelli specificati per la verifica delle connessioni al server.
-
Tutti i certificati personalizzati devono soddisfare il linee guida per la protezione avanzata del sistema per i certificati server.
-
StorageGRID supporta il raggruppamento di certificati da una CA in un singolo file (noto come bundle di certificati CA).
|
StorageGRID include anche certificati CA del sistema operativo che sono gli stessi su tutte le griglie. Negli ambienti di produzione, assicurarsi di specificare un certificato personalizzato firmato da un'autorità di certificazione esterna al posto del certificato CA del sistema operativo. |
Le varianti dei tipi di certificato server e client vengono implementate in diversi modi. Prima di configurare il sistema, è necessario disporre di tutti i certificati necessari per la configurazione specifica di StorageGRID.
Accesso ai certificati di sicurezza
È possibile accedere alle informazioni su tutti i certificati StorageGRID in una singola posizione, insieme ai collegamenti al flusso di lavoro di configurazione per ciascun certificato.
-
Da Grid Manager, selezionare CONFIGURATION Security Certificates.
-
Selezionare una scheda nella pagina certificati per informazioni su ciascuna categoria di certificati e per accedere alle impostazioni del certificato. È possibile accedere a una scheda solo se si dispone dell'autorizzazione appropriata.
-
Globale: Protegge l'accesso a StorageGRID da browser Web e client API esterni.
-
Grid CA: Protegge il traffico StorageGRID interno.
-
Client: Protegge le connessioni tra client esterni e il database StorageGRID Prometheus.
-
Endpoint del bilanciamento del carico: Protegge le connessioni tra i client S3 e Swift e il bilanciamento del carico StorageGRID.
-
Tenant: Protegge le connessioni ai server di federazione delle identità o dagli endpoint dei servizi della piattaforma alle risorse di storage S3.
-
Altro: Protegge le connessioni StorageGRID che richiedono certificati specifici.
Ciascuna scheda viene descritta di seguito con collegamenti a dettagli aggiuntivi del certificato.
-
I certificati globali proteggono l'accesso a StorageGRID dai browser Web e dai client API S3 e Swift esterni. Durante l'installazione, l'autorità di certificazione StorageGRID genera inizialmente due certificati globali. La procedura consigliata per un ambiente di produzione consiste nell'utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna.
-
Certificato dell'interfaccia di gestione: Protegge le connessioni del browser Web client alle interfacce di gestione StorageGRID.
-
Certificato API S3 e Swift: Protegge le connessioni API del client ai nodi di storage, ai nodi di amministrazione e ai nodi gateway, utilizzati dalle applicazioni client S3 e Swift per caricare e scaricare i dati degli oggetti.
Le informazioni sui certificati globali installati includono:
-
Nome: Nome del certificato con collegamento alla gestione del certificato.
-
Descrizione
-
Type: Personalizzato o predefinito. + per una maggiore sicurezza della griglia, è necessario utilizzare sempre un certificato personalizzato.
-
Data di scadenza: Se si utilizza il certificato predefinito, non viene visualizzata alcuna data di scadenza.
È possibile:
-
Sostituire i certificati predefiniti con certificati personalizzati firmati da un'autorità di certificazione esterna per una maggiore sicurezza della griglia:
-
Sostituire il certificato predefinito dell'interfaccia di gestione generata da StorageGRID Utilizzato per le connessioni di Grid Manager e Tenant Manager.
-
Sostituire il certificato API S3 e Swift Utilizzato per le connessioni Storage Node, CLB service (obsoleto) e load balancer endpoint (opzionale).
-
-
Ripristinare il certificato dell'interfaccia di gestione predefinita.
-
Utilizzare uno script per generare un nuovo certificato autofirmato dell'interfaccia di gestione.
-
Copiare o scaricare certificato dell'interfaccia di gestione oppure Certificato API S3 e Swift.
Il Certificato Grid CA, Generata dall'autorità di certificazione StorageGRID durante l'installazione di StorageGRID, protegge tutto il traffico StorageGRID interno.
Le informazioni sul certificato includono la data di scadenza del certificato e il contenuto del certificato.
È possibile Copia o scarica il certificato Grid CA, ma non è possibile modificarla.
Certificati client, Generata da un'autorità di certificazione esterna, protegge le connessioni tra i tool di monitoraggio esterni e il database StorageGRID Prometheus.
La tabella dei certificati contiene una riga per ciascun certificato client configurato e indica se il certificato può essere utilizzato per l'accesso al database Prometheus, insieme alla data di scadenza del certificato.
È possibile:
-
Selezionare il nome di un certificato per visualizzare i dettagli del certificato in cui è possibile:
-
Selezionare azioni per eseguire rapidamente modifica, allega, o. rimuovere un certificato client. È possibile selezionare fino a 10 certificati client e rimuoverli contemporaneamente utilizzando azioni Rimuovi.
Certificati endpoint per il bilanciamento del carico, Che vengono caricati o generati, proteggono le connessioni tra i client S3 e Swift e il servizio bilanciamento del carico StorageGRID sui nodi gateway e sui nodi amministrativi.
La tabella degli endpoint del bilanciamento del carico dispone di una riga per ciascun endpoint del bilanciamento del carico configurato e indica se per l'endpoint viene utilizzato il certificato API S3 e Swift globale o un certificato dell'endpoint del bilanciamento del carico personalizzato. Viene visualizzata anche la data di scadenza di ciascun certificato.
|
|
Le modifiche a un certificato endpoint possono richiedere fino a 15 minuti per essere applicate a tutti i nodi. |
È possibile:
-
Specificare un certificato endpoint per il bilanciamento del carico per FabricPool.
-
Utilizza il certificato globale S3 e Swift API invece di generare un nuovo certificato endpoint per il bilanciamento del carico.
I tenant possono utilizzare certificati del server di federazione delle identità oppure certificati endpoint del servizio di piattaforma Per proteggere le connessioni con StorageGRID.
La tabella tenant ha una riga per ciascun tenant e indica se ciascun tenant dispone dell'autorizzazione per utilizzare la propria origine di identità o i propri servizi di piattaforma.
È possibile:
-
Selezionare il nome di un tenant per accedere al tenant manager
-
Selezionare un nome tenant per visualizzare i dettagli della federazione delle identità del tenant
-
Selezionare un nome tenant per visualizzare i dettagli dei servizi della piattaforma tenant
-
Specificare un certificato endpoint del servizio di piattaforma durante la creazione dell'endpoint
StorageGRID utilizza altri certificati di sicurezza per scopi specifici. Questi certificati sono elencati in base al nome funzionale. Altri certificati di sicurezza includono:
Le informazioni indicano il tipo di certificato utilizzato da una funzione e le relative date di scadenza del certificato server e client, a seconda dei casi. Selezionando il nome di una funzione si apre una scheda del browser in cui è possibile visualizzare e modificare i dettagli del certificato.
|
|
È possibile visualizzare e accedere alle informazioni relative ad altri certificati solo se si dispone dell'autorizzazione appropriata. |
È possibile:
-
Visualizzare e modificare un certificato di federazione delle identità
-
Caricare i certificati del server e del client del server di gestione delle chiavi (KMS)
-
Specificare un certificato Cloud Storage Pool per S3, C2S S3 o Azure
-
Specificare manualmente un certificato SSO per l'attendibilità della parte che si basa
-
Specificare un certificato per le notifiche e-mail di avviso
Dettagli del certificato di sicurezza
Di seguito sono descritti i tipi di certificato di protezione, con collegamenti ad articoli che contengono istruzioni di implementazione.
Certificato dell'interfaccia di gestione
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione tra i browser Web client e l'interfaccia di gestione di StorageGRID, consentendo agli utenti di accedere a Grid Manager e Tenant Manager senza avvisi di sicurezza. Questo certificato autentica anche le connessioni API Grid Management e API Tenant Management. È possibile utilizzare il certificato predefinito creato durante l'installazione o caricare un certificato personalizzato. |
CONFIGURAZIONE sicurezza certificati, selezionare la scheda Globale, quindi selezionare certificato dell'interfaccia di gestione |
Certificato API S3 e Swift
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica le connessioni client protette S3 o Swift a un nodo di storage, al servizio di bilanciamento del carico di connessione (CLB) obsoleto su un nodo gateway e agli endpoint del bilanciamento del carico (opzionale). |
CONFIGURAZIONE sicurezza certificati, selezionare la scheda Globale, quindi selezionare S3 and Swift API certificate |
Certificato Grid CA
Certificato del client di amministratore
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Client |
Installato su ciascun client, consentendo a StorageGRID di autenticare l'accesso client esterno.
|
CONFIGURAZIONE sicurezza certificati, quindi selezionare la scheda Client |
Certificato endpoint per il bilanciamento del carico
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione tra i client S3 o Swift e il servizio bilanciamento del carico StorageGRID sui nodi gateway e sui nodi di amministrazione. È possibile caricare o generare un certificato di bilanciamento del carico quando si configura un endpoint di bilanciamento del carico. Le applicazioni client utilizzano il certificato di bilanciamento del carico durante la connessione a StorageGRID per salvare e recuperare i dati degli oggetti. È anche possibile utilizzare una versione personalizzata del Global Certificato API S3 e Swift Certificato per autenticare le connessioni al servizio Load Balancer. Se il certificato globale viene utilizzato per autenticare le connessioni del bilanciamento del carico, non è necessario caricare o generare un certificato separato per ciascun endpoint del bilanciamento del carico. Nota: il certificato utilizzato per l'autenticazione del bilanciamento del carico è il certificato più utilizzato durante il normale funzionamento StorageGRID. |
CONFIGURAZIONE rete endpoint del bilanciamento del carico |
Certificato di federazione delle identità
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione tra StorageGRID e un provider di identità esterno, ad esempio Active Directory, OpenLDAP o Oracle Directory Server. Utilizzato per la federazione delle identità, che consente ai gruppi di amministrazione e agli utenti di essere gestiti da un sistema esterno. |
CONFIGURAZIONE controllo accessi federazione identità |
Certificato endpoint dei servizi di piattaforma
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione dal servizio della piattaforma StorageGRID a una risorsa di storage S3. |
Tenant Manager STORAGE (S3) endpoint dei servizi della piattaforma |
Certificato endpoint Cloud Storage Pool
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione da un pool di storage cloud StorageGRID a una posizione di storage esterna, ad esempio lo storage S3 Glacier o Microsoft Azure Blob. Per ogni tipo di cloud provider è necessario un certificato diverso. |
ILM Storage Pools |
Certificato del Key Management Server (KMS)
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server e client |
Autentica la connessione tra StorageGRID e un KMS (Key Management Server) esterno, che fornisce chiavi di crittografia ai nodi appliance StorageGRID. |
CONFIGURAZIONE sicurezza Server di gestione delle chiavi |
Certificato SSO (Single Sign-on)
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione tra i servizi di federazione delle identità, come ad FS (Active Directory Federation Services) e StorageGRID, utilizzati per le richieste SSO (Single Sign-on). |
CONFIGURAZIONE controllo di accesso Single Sign-on |
Certificato di notifica degli avvisi via email
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server e client |
Autentica la connessione tra un server e-mail SMTP e StorageGRID utilizzato per le notifiche degli avvisi.
|
AVVISI Configurazione e-mail |
Certificato server syslog esterno
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione TLS o RELP/TLS tra un server syslog esterno che registra gli eventi in StorageGRID. Nota: non è richiesto un certificato server syslog esterno per le connessioni TCP, RELP/TCP e UDP a un server syslog esterno. |
CONFIGURAZIONE monitoraggio Audit e server syslog, quindi selezionare Configura server syslog esterno |
Esempi di certificati
Esempio 1: Servizio di bilanciamento del carico
In questo esempio, StorageGRID agisce come server.
-
È possibile configurare un endpoint di bilanciamento del carico e caricare o generare un certificato server in StorageGRID.
-
È possibile configurare una connessione client S3 o Swift all'endpoint del bilanciamento del carico e caricare lo stesso certificato nel client.
-
Quando il client desidera salvare o recuperare i dati, si connette all'endpoint del bilanciamento del carico utilizzando HTTPS.
-
StorageGRID risponde con il certificato del server, che contiene una chiave pubblica, e con una firma basata sulla chiave privata.
-
Il client verifica questo certificato confrontando la firma del server con la firma sulla copia del certificato. Se le firme corrispondono, il client avvia una sessione utilizzando la stessa chiave pubblica.
-
Il client invia i dati dell'oggetto a StorageGRID.
Esempio 2: Server KMS (Key Management Server) esterno
In questo esempio, StorageGRID agisce come client.
-
Utilizzando il software del server di gestione delle chiavi esterno, è possibile configurare StorageGRID come client KMS e ottenere un certificato server con firma CA, un certificato client pubblico e la chiave privata per il certificato client.
-
Utilizzando Grid Manager, è possibile configurare un server KMS e caricare i certificati server e client e la chiave privata del client.
-
Quando un nodo StorageGRID necessita di una chiave di crittografia, effettua una richiesta al server KMS che include i dati del certificato e una firma basata sulla chiave privata.
-
Il server KMS convalida la firma del certificato e decide che può fidarsi di StorageGRID.
-
Il server KMS risponde utilizzando la connessione validata.