Inizia subito
Linee guida per la protezione avanzata di TLS e SSH
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Installazione e aggiornamento
-
Installare l'hardware dell'appliance
-
-
Configurare e gestire
-
USA StorageGRID
-
Monitorare e risolvere i problemi
-
Mantenere
-
Ripristinare i nodi e mantenere la griglia
-
Procedure di ripristino del nodo Grid
-
-
-
Raccolta di documenti PDF separati
Creating your file...
È necessario sostituire i certificati predefiniti creati durante l'installazione e selezionare il criterio di protezione appropriato per le connessioni TLS e SSH.
Linee guida per la protezione avanzata dei certificati
È necessario sostituire i certificati predefiniti creati durante l'installazione con certificati personalizzati.
Per molte organizzazioni, il certificato digitale autofirmato per l'accesso Web a StorageGRID non è conforme alle policy di sicurezza delle informazioni. Nei sistemi di produzione, è necessario installare un certificato digitale con firma CA da utilizzare per l'autenticazione di StorageGRID.
In particolare, è necessario utilizzare certificati server personalizzati anziché i seguenti certificati predefiniti:
-
Certificato dell'interfaccia di gestione: Utilizzato per proteggere l'accesso a Grid Manager, Tenant Manager, Grid Management API e Tenant Management API.
-
Certificato API S3 e Swift: Utilizzato per proteggere l'accesso ai nodi di storage e ai nodi gateway, utilizzati dalle applicazioni client S3 e Swift per caricare e scaricare i dati degli oggetti.
Vedere "Gestire i certificati di sicurezza" per dettagli e istruzioni.
|
StorageGRID gestisce separatamente i certificati utilizzati per gli endpoint del bilanciamento del carico. Per configurare i certificati di bilanciamento del carico, vedere "Configurare gli endpoint del bilanciamento del carico". |
Quando si utilizzano certificati server personalizzati, attenersi alle seguenti linee guida:
-
I certificati devono avere un
subjectAltNameChe corrisponde alle voci DNS per StorageGRID. Per ulteriori informazioni, vedere la sezione 4.2.1.6, “Subject alternative Name,” in "RFC 5280: Certificato PKIX e profilo CRL". -
Se possibile, evitare l'utilizzo di certificati con caratteri jolly. Un'eccezione a questa linea guida è il certificato per un endpoint di stile host virtuale S3, che richiede l'utilizzo di un carattere jolly se i nomi dei bucket non sono noti in anticipo.
-
Quando è necessario utilizzare i caratteri jolly nei certificati, è necessario adottare ulteriori misure per ridurre i rischi. Utilizzare un modello con caratteri jolly come
*.s3.example.com`e non utilizzare `s3.example.comsuffisso per altre applicazioni. Questo modello funziona anche con l'accesso S3 di tipo path, ad esempiodc1-s1.s3.example.com/mybucket. -
Impostare i tempi di scadenza del certificato su brevi (ad esempio, 2 mesi) e utilizzare l'API Grid Management per automatizzare la rotazione del certificato. Ciò è particolarmente importante per i certificati con caratteri jolly.
Inoltre, i client devono utilizzare un rigoroso controllo del nome host quando comunicano con StorageGRID.
Linee guida per la protezione avanzata dei criteri TLS e SSH
È possibile selezionare un criterio di protezione per determinare quali protocolli e cifrature utilizzare per stabilire connessioni TLS sicure con applicazioni client e connessioni SSH sicure ai servizi StorageGRID interni.
Il criterio di sicurezza controlla il modo in cui TLS e SSH crittografano i dati in movimento. Come procedura consigliata, è necessario disattivare le opzioni di crittografia non necessarie per la compatibilità delle applicazioni. Utilizzare il criterio moderno predefinito, a meno che il sistema non debba essere conforme ai criteri comuni o non sia necessario utilizzare altre crittografia.
Vedere "Gestire i criteri TLS e SSH" per dettagli e istruzioni.