Skip to main content
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestione dei certificati di sicurezza: Panoramica

Collaboratori

I certificati di sicurezza sono piccoli file di dati utilizzati per creare connessioni sicure e affidabili tra i componenti di StorageGRID e tra i componenti di StorageGRID e i sistemi esterni.

StorageGRID utilizza due tipi di certificati di sicurezza:

  • I certificati server sono richiesti quando si utilizzano connessioni HTTPS. I certificati del server vengono utilizzati per stabilire connessioni sicure tra client e server, autenticando l'identità di un server nei suoi client e fornendo un percorso di comunicazione sicuro per i dati. Il server e il client dispongono di una copia del certificato.

  • Certificati client autenticano un'identità del client o dell'utente sul server, fornendo un'autenticazione più sicura rispetto alle sole password. I certificati client non crittografano i dati.

Quando un client si connette al server utilizzando HTTPS, il server risponde con il certificato del server, che contiene una chiave pubblica. Il client verifica questo certificato confrontando la firma del server con la firma sulla copia del certificato. Se le firme corrispondono, il client avvia una sessione con il server utilizzando la stessa chiave pubblica.

StorageGRID funziona come server per alcune connessioni (come l'endpoint del bilanciamento del carico) o come client per altre connessioni (come il servizio di replica di CloudMirror).

Certificato Grid CA predefinito

StorageGRID include un'autorità di certificazione (CA) incorporata che genera un certificato Grid CA interno durante l'installazione del sistema. Il certificato Grid CA viene utilizzato, per impostazione predefinita, per proteggere il traffico StorageGRID interno. Un'autorità di certificazione esterna (CA) può emettere certificati personalizzati pienamente conformi ai criteri di sicurezza delle informazioni dell'organizzazione. Sebbene sia possibile utilizzare il certificato Grid CA per un ambiente non di produzione, la procedura consigliata per un ambiente di produzione consiste nell'utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna. Sono supportate anche connessioni non protette senza certificato, ma non sono consigliate.

  • I certificati CA personalizzati non rimuovono i certificati interni; tuttavia, i certificati personalizzati devono essere quelli specificati per la verifica delle connessioni al server.

  • Tutti i certificati personalizzati devono soddisfare il "linee guida per la protezione avanzata del sistema per i certificati server".

  • StorageGRID supporta il raggruppamento di certificati da una CA in un singolo file (noto come bundle di certificati CA).

Nota StorageGRID include anche certificati CA del sistema operativo che sono gli stessi su tutte le griglie. Negli ambienti di produzione, assicurarsi di specificare un certificato personalizzato firmato da un'autorità di certificazione esterna al posto del certificato CA del sistema operativo.

Le varianti dei tipi di certificato server e client vengono implementate in diversi modi. Prima di configurare il sistema, è necessario disporre di tutti i certificati necessari per la configurazione specifica di StorageGRID.

Accesso ai certificati di sicurezza

È possibile accedere alle informazioni su tutti i certificati StorageGRID in una singola posizione, insieme ai collegamenti al flusso di lavoro di configurazione per ciascun certificato.

Fasi
  1. Da Grid Manager, selezionare CONFIGURATION > Security > Certificates.

    Pagina certificati
  2. Selezionare una scheda nella pagina certificati per informazioni su ciascuna categoria di certificati e per accedere alle impostazioni del certificato. È possibile accedere a una scheda solo se si dispone dell'autorizzazione appropriata.

    • Globale: Protegge l'accesso a StorageGRID da browser Web e client API esterni.

    • Grid CA: Protegge il traffico StorageGRID interno.

    • Client: Protegge le connessioni tra client esterni e il database StorageGRID Prometheus.

    • Endpoint del bilanciamento del carico: Protegge le connessioni tra i client S3 e Swift e il bilanciamento del carico StorageGRID.

    • Tenant: Protegge le connessioni ai server di federazione delle identità o dagli endpoint dei servizi della piattaforma alle risorse di storage S3.

    • Altro: Protegge le connessioni StorageGRID che richiedono certificati specifici.

    Ciascuna scheda viene descritta di seguito con collegamenti a dettagli aggiuntivi del certificato.

Globale

I certificati globali proteggono l'accesso a StorageGRID dai browser Web e dai client API S3 e Swift esterni. Durante l'installazione, l'autorità di certificazione StorageGRID genera inizialmente due certificati globali. La procedura consigliata per un ambiente di produzione consiste nell'utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna.

  • Certificato dell'interfaccia di gestione: Protegge le connessioni del browser Web client alle interfacce di gestione StorageGRID.

  • Certificato API S3 e Swift: Protegge le connessioni API del client ai nodi di storage, ai nodi di amministrazione e ai nodi gateway, utilizzati dalle applicazioni client S3 e Swift per caricare e scaricare i dati degli oggetti.

Le informazioni sui certificati globali installati includono:

  • Nome: Nome del certificato con collegamento alla gestione del certificato.

  • Descrizione

  • Type: Personalizzato o predefinito. + per una maggiore sicurezza della griglia, è necessario utilizzare sempre un certificato personalizzato.

  • Data di scadenza: Se si utilizza il certificato predefinito, non viene visualizzata alcuna data di scadenza.

È possibile:

CA griglia

Il Certificato Grid CA, Generata dall'autorità di certificazione StorageGRID durante l'installazione di StorageGRID, protegge tutto il traffico StorageGRID interno.

Le informazioni sul certificato includono la data di scadenza del certificato e il contenuto del certificato.

È possibile "Copia o scarica il certificato Grid CA", ma non è possibile modificarla.

Client

Certificati client, Generata da un'autorità di certificazione esterna, protegge le connessioni tra i tool di monitoraggio esterni e il database StorageGRID Prometheus.

La tabella dei certificati contiene una riga per ciascun certificato client configurato e indica se il certificato può essere utilizzato per l'accesso al database Prometheus, insieme alla data di scadenza del certificato.

È possibile:

Endpoint del bilanciamento del carico

Certificati endpoint per il bilanciamento del carico Proteggere le connessioni tra i client S3 e Swift e il servizio di bilanciamento del carico StorageGRID sui nodi gateway e sui nodi di amministrazione.

La tabella degli endpoint del bilanciamento del carico dispone di una riga per ciascun endpoint del bilanciamento del carico configurato e indica se per l'endpoint viene utilizzato il certificato API S3 e Swift globale o un certificato dell'endpoint del bilanciamento del carico personalizzato. Viene visualizzata anche la data di scadenza di ciascun certificato.

Nota Le modifiche a un certificato endpoint possono richiedere fino a 15 minuti per essere applicate a tutti i nodi.

È possibile:

Altro

StorageGRID utilizza altri certificati di sicurezza per scopi specifici. Questi certificati sono elencati in base al nome funzionale. Altri certificati di sicurezza includono:

Le informazioni indicano il tipo di certificato utilizzato da una funzione e le relative date di scadenza del certificato server e client, a seconda dei casi. Selezionando il nome di una funzione si apre una scheda del browser in cui è possibile visualizzare e modificare i dettagli del certificato.

Nota È possibile visualizzare e accedere alle informazioni relative ad altri certificati solo se si dispone dell'autorizzazione appropriata.

È possibile:

Dettagli del certificato di sicurezza

Di seguito sono descritti i tipi di certificato di protezione, con collegamenti alle istruzioni di implementazione.

Certificato dell'interfaccia di gestione

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione tra i browser Web client e l'interfaccia di gestione di StorageGRID, consentendo agli utenti di accedere a Grid Manager e Tenant Manager senza avvisi di sicurezza.

Questo certificato autentica anche le connessioni API Grid Management e API Tenant Management.

È possibile utilizzare il certificato predefinito creato durante l'installazione o caricare un certificato personalizzato.

CONFIGURATION > Security > Certificates, selezionare la scheda Global, quindi selezionare Management interface certificate

Certificato API S3 e Swift

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica le connessioni client sicure S3 o Swift a un nodo di storage e agli endpoint del bilanciamento del carico (opzionale).

CONFIGURATION > Security > Certificates, selezionare la scheda Global, quindi S3 and Swift API certificate

Certificato del client di amministratore

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Client

Installato su ciascun client, consentendo a StorageGRID di autenticare l'accesso client esterno.

  • Consente ai client esterni autorizzati di accedere al database StorageGRID Prometheus.

  • Consente il monitoraggio sicuro di StorageGRID utilizzando strumenti esterni.

CONFIGURAZIONE > sicurezza > certificati, quindi selezionare la scheda Client

Certificato endpoint per il bilanciamento del carico

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione tra i client S3 o Swift e il servizio bilanciamento del carico StorageGRID sui nodi gateway e sui nodi di amministrazione. È possibile caricare o generare un certificato di bilanciamento del carico quando si configura un endpoint di bilanciamento del carico. Le applicazioni client utilizzano il certificato di bilanciamento del carico durante la connessione a StorageGRID per salvare e recuperare i dati degli oggetti.

È anche possibile utilizzare una versione personalizzata del Global Certificato API S3 e Swift Certificato per autenticare le connessioni al servizio Load Balancer. Se il certificato globale viene utilizzato per autenticare le connessioni del bilanciamento del carico, non è necessario caricare o generare un certificato separato per ciascun endpoint del bilanciamento del carico.

Nota: il certificato utilizzato per l'autenticazione del bilanciamento del carico è il certificato più utilizzato durante il normale funzionamento StorageGRID.

CONFIGURAZIONE > rete > endpoint del bilanciamento del carico

Certificato endpoint Cloud Storage Pool

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione da un pool di storage cloud StorageGRID a una posizione di storage esterna, ad esempio lo storage S3 Glacier o Microsoft Azure Blob. Per ogni tipo di cloud provider è necessario un certificato diverso.

ILM > Storage Pools

Certificato di notifica degli avvisi via email

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server e client

Autentica la connessione tra un server e-mail SMTP e StorageGRID utilizzato per le notifiche degli avvisi.

  • Se le comunicazioni con il server SMTP richiedono TLS (Transport Layer Security), è necessario specificare il certificato CA del server di posta elettronica.

  • Specificare un certificato client solo se il server di posta SMTP richiede certificati client per l'autenticazione.

ALERTS > email setup

Certificato server syslog esterno

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione TLS o RELP/TLS tra un server syslog esterno che registra gli eventi in StorageGRID.

Nota: non è richiesto un certificato server syslog esterno per le connessioni TCP, RELP/TCP e UDP a un server syslog esterno.

CONFIGURAZIONE > monitoraggio > Server di controllo e syslog e selezionare Configura server syslog esterno

certificato di connessione Grid Federation

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server e client

Autenticare e crittografare le informazioni inviate tra il sistema StorageGRID corrente e un'altra griglia in una connessione a federazione di griglie.

CONFIGURAZIONE > sistema > federazione griglia

Certificato di federazione delle identità

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione tra StorageGRID e un provider di identità esterno, ad esempio Active Directory, OpenLDAP o Oracle Directory Server. Utilizzato per la federazione delle identità, che consente ai gruppi di amministrazione e agli utenti di essere gestiti da un sistema esterno.

CONFIGURAZIONE > controllo accessi > federazione identità

Certificato del Key Management Server (KMS)

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server e client

Autentica la connessione tra StorageGRID e un KMS (Key Management Server) esterno, che fornisce chiavi di crittografia ai nodi appliance StorageGRID.

CONFIGURAZIONE > sicurezza > Server di gestione delle chiavi

Certificato endpoint dei servizi di piattaforma

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione dal servizio della piattaforma StorageGRID a una risorsa di storage S3.

Tenant Manager > STORAGE (S3) > endpoint dei servizi della piattaforma

Certificato SSO (Single Sign-on)

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione tra i servizi di federazione delle identità, come ad FS (Active Directory Federation Services) e StorageGRID, utilizzati per le richieste SSO (Single Sign-on).

CONFIGURAZIONE > controllo di accesso > Single Sign-on

Esempi di certificati

Esempio 1: Servizio di bilanciamento del carico

In questo esempio, StorageGRID agisce come server.

  1. È possibile configurare un endpoint di bilanciamento del carico e caricare o generare un certificato server in StorageGRID.

  2. È possibile configurare una connessione client S3 o Swift all'endpoint del bilanciamento del carico e caricare lo stesso certificato nel client.

  3. Quando il client desidera salvare o recuperare i dati, si connette all'endpoint del bilanciamento del carico utilizzando HTTPS.

  4. StorageGRID risponde con il certificato del server, che contiene una chiave pubblica, e con una firma basata sulla chiave privata.

  5. Il client verifica questo certificato confrontando la firma del server con la firma sulla copia del certificato. Se le firme corrispondono, il client avvia una sessione utilizzando la stessa chiave pubblica.

  6. Il client invia i dati dell'oggetto a StorageGRID.

Esempio 2: Server KMS (Key Management Server) esterno

In questo esempio, StorageGRID agisce come client.

  1. Utilizzando il software del server di gestione delle chiavi esterno, è possibile configurare StorageGRID come client KMS e ottenere un certificato server con firma CA, un certificato client pubblico e la chiave privata per il certificato client.

  2. Utilizzando Grid Manager, è possibile configurare un server KMS e caricare i certificati server e client e la chiave privata del client.

  3. Quando un nodo StorageGRID necessita di una chiave di crittografia, effettua una richiesta al server KMS che include i dati del certificato e una firma basata sulla chiave privata.

  4. Il server KMS convalida la firma del certificato e decide che può fidarsi di StorageGRID.

  5. Il server KMS risponde utilizzando la connessione validata.