Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Sicurezza per i client S3

Gli account tenant StorageGRID utilizzano applicazioni client S3 per salvare i dati degli oggetti in StorageGRID. Dovresti rivedere le misure di sicurezza implementate per le applicazioni client.

L'elenco seguente riassume come viene implementata la sicurezza per l'API REST S3:

Sicurezza della connessione

TLS

Autenticazione del server

Certificato del server X.509 firmato dalla CA di sistema o certificato del server personalizzato fornito dall'amministratore

Autenticazione del client

ID chiave di accesso all'account S3 e chiave di accesso segreta

Autorizzazione del cliente

Proprietà del bucket e tutte le policy di controllo degli accessi applicabili

Come StorageGRID fornisce sicurezza per le applicazioni client

Le applicazioni client S3 possono connettersi al servizio Load Balancer sui nodi gateway o sui nodi amministrativi oppure direttamente sui nodi di archiviazione.

  • I client che si connettono al servizio Load Balancer possono utilizzare HTTPS o HTTP, a seconda di come"configurare l'endpoint del bilanciatore del carico" .

    HTTPS garantisce una comunicazione sicura e crittografata tramite TLS ed è consigliato. È necessario allegare un certificato di sicurezza all'endpoint.

    HTTP fornisce una comunicazione meno sicura e non crittografata e dovrebbe essere utilizzato solo per griglie non di produzione o di prova.

  • I client che si connettono ai nodi di archiviazione possono anche utilizzare HTTPS o HTTP.

    HTTPS è il protocollo predefinito ed è consigliato.

    HTTP fornisce una comunicazione meno sicura e non crittografata, ma può essere facoltativamente"abilitato" per griglie non di produzione o di prova.

  • Le comunicazioni tra StorageGRID e il client sono crittografate tramite TLS.

  • Le comunicazioni tra il servizio Load Balancer e i nodi di archiviazione all'interno della griglia sono crittografate indipendentemente dal fatto che l'endpoint del load balancer sia configurato per accettare connessioni HTTP o HTTPS.

  • I clienti devono fornire"Intestazioni di autenticazione HTTP" a StorageGRID per eseguire operazioni REST API.

Certificati di sicurezza e applicazioni client

In tutti i casi, le applicazioni client possono effettuare connessioni TLS utilizzando un certificato server personalizzato caricato dall'amministratore della griglia o un certificato generato dal sistema StorageGRID :

  • Quando le applicazioni client si connettono al servizio Load Balancer, utilizzano il certificato configurato per l'endpoint del load balancer. Ogni endpoint del bilanciatore del carico ha il proprio certificato: un certificato server personalizzato caricato dall'amministratore della griglia o un certificato generato dall'amministratore della griglia in StorageGRID durante la configurazione dell'endpoint.

  • Quando le applicazioni client si connettono direttamente a un nodo di archiviazione, utilizzano i certificati server generati dal sistema per i nodi di archiviazione al momento dell'installazione del sistema StorageGRID (firmati dall'autorità di certificazione del sistema) oppure un singolo certificato server personalizzato fornito per la griglia da un amministratore della griglia. Vedere "aggiungi un certificato API S3 personalizzato" .

I client devono essere configurati in modo da considerare attendibile l'autorità di certificazione che ha firmato qualsiasi certificato utilizzato per stabilire connessioni TLS.

Algoritmi di hashing e crittografia supportati per le librerie TLS

Il sistema StorageGRID supporta un set di suite di cifratura che le applicazioni client possono utilizzare quando stabiliscono una sessione TLS. Per configurare i cifrari, vai su CONFIGURAZIONE > Sicurezza > Impostazioni di sicurezza e seleziona Criteri TLS e SSH.

Versioni supportate di TLS

StorageGRID supporta TLS 1.2 e TLS 1.3.

Nota SSLv3 e TLS 1.1 (o versioni precedenti) non sono più supportati.