Inizia subito
Sicurezza per client S3 o Swift
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Installazione, aggiornamento e correzione rapida
-
Configurare e gestire
-
Monitorare e risolvere i problemi
-
Raccolta di documenti PDF separati
Creating your file...
Gli account tenant di StorageGRID utilizzano applicazioni client S3 o Swift per salvare i dati degli oggetti in StorageGRID. È necessario esaminare le misure di protezione implementate per le applicazioni client.
Riepilogo
La tabella seguente riassume il modo in cui viene implementata la sicurezza per le API REST S3 e Swift:
| Problema di sicurezza | Implementazione per API REST |
|---|---|
Sicurezza della connessione |
TLS |
Autenticazione del server |
Certificato server X.509 firmato dalla CA di sistema o certificato server personalizzato fornito dall'amministratore |
Autenticazione del client |
|
Autorizzazione del client |
|
In che modo StorageGRID fornisce la protezione per le applicazioni client
Le applicazioni client S3 e Swift possono connettersi al servizio Load Balancer su nodi gateway o nodi amministrativi o direttamente ai nodi storage.
-
I client che si connettono al servizio Load Balancer possono utilizzare HTTPS o HTTP, in base alla modalità di utilizzo "configurare l'endpoint del bilanciamento del carico".
HTTPS fornisce una comunicazione sicura e crittografata TLS ed è consigliato. È necessario allegare un certificato di protezione all'endpoint.
HTTP fornisce comunicazioni meno sicure e non crittografate e dovrebbe essere utilizzato solo per reti non di produzione o di test.
-
I client che si connettono ai nodi di archiviazione possono anche utilizzare HTTPS o HTTP.
HTTPS è l'impostazione predefinita ed è consigliata.
HTTP fornisce una comunicazione meno sicura e non crittografata, ma può essere opzionale "attivato" per reti non di produzione o di prova.
-
Le comunicazioni tra StorageGRID e il client vengono crittografate mediante TLS.
-
Le comunicazioni tra il servizio Load Balancer e i nodi di storage all'interno della griglia vengono crittografate indipendentemente dal fatto che l'endpoint del bilanciamento del carico sia configurato per accettare connessioni HTTP o HTTPS.
-
I client devono fornire le intestazioni di autenticazione HTTP a StorageGRID per eseguire operazioni REST API. Vedere "Autenticare le richieste" e. "Endpoint API Swift supportati".
Certificati di sicurezza e applicazioni client
In tutti i casi, le applicazioni client possono stabilire connessioni TLS utilizzando un certificato server personalizzato caricato dall'amministratore della griglia o un certificato generato dal sistema StorageGRID:
-
Quando le applicazioni client si connettono al servizio Load Balancer, utilizzano il certificato configurato per l'endpoint del bilanciamento del carico. Ogni endpoint del bilanciatore di carico dispone di un proprio certificato—un certificato server personalizzato caricato dall'amministratore della griglia o un certificato generato dall'amministratore della griglia in StorageGRID durante la configurazione dell'endpoint.
-
Quando le applicazioni client si connettono direttamente a un nodo di storage, utilizzano i certificati server generati dal sistema e generati per i nodi di storage al momento dell'installazione del sistema StorageGRID (firmati dall'autorità di certificazione del sistema), oppure un singolo certificato server personalizzato fornito per la griglia da un amministratore della griglia. Vedere "Aggiunta di un certificato API S3 o Swift personalizzato".
I client devono essere configurati in modo da considerare attendibile l'autorità di certificazione che ha firmato il certificato utilizzato per stabilire connessioni TLS.
Algoritmi di hashing e crittografia supportati per le librerie TLS
Il sistema StorageGRID supporta un insieme di pacchetti di crittografia che le applicazioni client possono utilizzare quando stabiliscono una sessione TLS. Per configurare le crittografia, andare a CONFIGURATION > Security > Security settings e selezionare TLS and SSH policy.
Versioni supportate di TLS
StorageGRID supporta TLS 1.2 e TLS 1.3.
|
SSLv3 e TLS 1.1 (o versioni precedenti) non sono più supportati. |