Sicurezza per i client S3
Suggerisci modifiche
PDF
Gli account tenant StorageGRID utilizzano applicazioni client S3 per salvare i dati degli oggetti in StorageGRID. Dovresti rivedere le misure di sicurezza implementate per le applicazioni client.
Riepilogo
L'elenco seguente riassume come viene implementata la sicurezza per l'API REST S3:
- Sicurezza della connessione
-
TLS
- Autenticazione del server
-
Certificato del server X.509 firmato dalla CA di sistema o certificato del server personalizzato fornito dall'amministratore
- Autenticazione del client
-
ID chiave di accesso all'account S3 e chiave di accesso segreta
- Autorizzazione del cliente
-
Proprietà del bucket e tutte le policy di controllo degli accessi applicabili
Come StorageGRID fornisce sicurezza per le applicazioni client
Le applicazioni client S3 possono connettersi al servizio Load Balancer sui nodi gateway o sui nodi amministrativi oppure direttamente sui nodi di archiviazione.
-
I client che si connettono al servizio Load Balancer possono utilizzare HTTPS o HTTP, a seconda di come"configurare l'endpoint del bilanciatore del carico" .
HTTPS garantisce una comunicazione sicura e crittografata tramite TLS ed è consigliato. È necessario allegare un certificato di sicurezza all'endpoint.
HTTP fornisce una comunicazione meno sicura e non crittografata e dovrebbe essere utilizzato solo per griglie non di produzione o di prova.
-
I client che si connettono ai nodi di archiviazione possono anche utilizzare HTTPS o HTTP.
HTTPS è il protocollo predefinito ed è consigliato.
HTTP fornisce una comunicazione meno sicura e non crittografata, ma può essere facoltativamente"abilitato" per griglie non di produzione o di prova.
-
Le comunicazioni tra StorageGRID e il client sono crittografate tramite TLS.
-
Le comunicazioni tra il servizio Load Balancer e i nodi di archiviazione all'interno della griglia sono crittografate indipendentemente dal fatto che l'endpoint del load balancer sia configurato per accettare connessioni HTTP o HTTPS.
-
I clienti devono fornire"Intestazioni di autenticazione HTTP" a StorageGRID per eseguire operazioni REST API.
Certificati di sicurezza e applicazioni client
In tutti i casi, le applicazioni client possono effettuare connessioni TLS utilizzando un certificato server personalizzato caricato dall'amministratore della griglia o un certificato generato dal sistema StorageGRID :
-
Quando le applicazioni client si connettono al servizio Load Balancer, utilizzano il certificato configurato per l'endpoint del load balancer. Ogni endpoint del bilanciatore del carico ha il proprio certificato: un certificato server personalizzato caricato dall'amministratore della griglia o un certificato generato dall'amministratore della griglia in StorageGRID durante la configurazione dell'endpoint.
-
Quando le applicazioni client si connettono direttamente a un nodo di archiviazione, utilizzano i certificati server generati dal sistema per i nodi di archiviazione al momento dell'installazione del sistema StorageGRID (firmati dall'autorità di certificazione del sistema) oppure un singolo certificato server personalizzato fornito per la griglia da un amministratore della griglia. Vedere "aggiungi un certificato API S3 personalizzato" .
I client devono essere configurati in modo da considerare attendibile l'autorità di certificazione che ha firmato qualsiasi certificato utilizzato per stabilire connessioni TLS.
Algoritmi di hashing e crittografia supportati per le librerie TLS
Il sistema StorageGRID supporta un set di suite di cifratura che le applicazioni client possono utilizzare quando stabiliscono una sessione TLS. Per configurare i cifrari, vai su CONFIGURAZIONE > Sicurezza > Impostazioni di sicurezza e seleziona Criteri TLS e SSH.
Versioni supportate di TLS
StorageGRID supporta TLS 1.2 e TLS 1.3.
|
SSLv3 e TLS 1.1 (o versioni precedenti) non sono più supportati. |