Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Gestire i certificati di sicurezza

PDF

I certificati di sicurezza sono piccoli file di dati utilizzati per creare connessioni sicure e affidabili tra i componenti StorageGRID e tra i componenti StorageGRID e i sistemi esterni.

StorageGRID utilizza due tipi di certificati di sicurezza:

  • I certificati del server sono obbligatori quando si utilizzano connessioni HTTPS. I certificati server vengono utilizzati per stabilire connessioni sicure tra client e server, autenticando l'identità di un server rispetto ai suoi client e fornendo un percorso di comunicazione sicuro per i dati. Sia il server che il client dispongono ciascuno di una copia del certificato.

  • I certificati client autenticano l'identità di un client o di un utente sul server, garantendo un'autenticazione più sicura rispetto alle sole password. I certificati client non crittografano i dati.

Quando un client si connette al server tramite HTTPS, il server risponde con il certificato del server, che contiene una chiave pubblica. Il client verifica questo certificato confrontando la firma del server con la firma presente sulla propria copia del certificato. Se le firme corrispondono, il client avvia una sessione con il server utilizzando la stessa chiave pubblica.

StorageGRID funge da server per alcune connessioni (ad esempio l'endpoint del bilanciatore del carico) o da client per altre connessioni (ad esempio il servizio di replica CloudMirror).

Certificato CA predefinito della griglia

StorageGRID include un'autorità di certificazione (CA) integrata che genera un certificato CA Grid interno durante l'installazione del sistema. Per impostazione predefinita, il certificato Grid CA viene utilizzato per proteggere il traffico StorageGRID interno. Un'autorità di certificazione (CA) esterna può rilasciare certificati personalizzati pienamente conformi alle policy di sicurezza delle informazioni della tua organizzazione. Sebbene sia possibile utilizzare il certificato Grid CA per un ambiente non di produzione, la procedura consigliata per un ambiente di produzione è quella di utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna. Sono supportate anche le connessioni non protette senza certificato, ma non sono consigliate.

  • I certificati CA personalizzati non rimuovono i certificati interni; tuttavia, i certificati personalizzati dovrebbero essere quelli specificati per la verifica delle connessioni al server.

  • Tutti i certificati personalizzati devono soddisfare i"linee guida per il rafforzamento del sistema per i certificati del server" .

  • StorageGRID supporta il raggruppamento dei certificati di una CA in un singolo file (noto come pacchetto di certificati CA).

Nota StorageGRID include anche certificati CA del sistema operativo che sono gli stessi su tutte le griglie. Negli ambienti di produzione, assicurarsi di specificare un certificato personalizzato firmato da un'autorità di certificazione esterna al posto del certificato CA del sistema operativo.

Le varianti dei tipi di certificato server e client vengono implementate in diversi modi. Prima di configurare il sistema, è necessario disporre di tutti i certificati necessari per la configurazione specifica StorageGRID .

Certificati di sicurezza di accesso

È possibile accedere alle informazioni su tutti i certificati StorageGRID in un'unica posizione, insieme ai collegamenti al flusso di lavoro di configurazione per ciascun certificato.

Passi

  1. Da Grid Manager, seleziona CONFIGURAZIONE > Sicurezza > Certificati.

    Pagina dei certificati

  2. Selezionare una scheda nella pagina Certificati per informazioni su ciascuna categoria di certificato e per accedere alle impostazioni del certificato. Puoi accedere a una scheda se hai"autorizzazione appropriata" .

    • Globale: Protegge l'accesso a StorageGRID da browser Web e client API esterni.

    • Grid CA: protegge il traffico StorageGRID interno.

    • Client: protegge le connessioni tra client esterni e il database StorageGRID Prometheus.

    • Endpoint del bilanciatore del carico: protegge le connessioni tra i client S3 e il bilanciatore del carico StorageGRID .

    • Tenant: protegge le connessioni ai server di federazione delle identità o dagli endpoint dei servizi di piattaforma alle risorse di archiviazione S3.

    • Altro: protegge le connessioni StorageGRID che richiedono certificati specifici.

      Di seguito viene descritta ogni scheda con link ad ulteriori dettagli sul certificato.

    Globale

    I certificati globali proteggono l'accesso a StorageGRID dai browser Web e dai client API S3 esterni. Durante l'installazione, inizialmente l'autorità di certificazione StorageGRID genera due certificati globali. La procedura migliore per un ambiente di produzione è quella di utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna.

    • Certificato di interfaccia di gestione: Protegge le connessioni del browser Web del client alle interfacce di gestione StorageGRID .

    • Certificato API S3: Protegge le connessioni API client ai nodi di archiviazione, ai nodi di amministrazione e ai nodi gateway, che le applicazioni client S3 utilizzano per caricare e scaricare i dati degli oggetti.

    Le informazioni sui certificati globali installati includono:

    • Nome: Nome del certificato con collegamento alla gestione del certificato.

    • Descrizione

    • Tipo: personalizzato o predefinito. + Per una maggiore sicurezza della rete, dovresti sempre utilizzare un certificato personalizzato.

    • Data di scadenza: se si utilizza il certificato predefinito, non viene visualizzata alcuna data di scadenza.

    Puoi:

    Griglia CA

    ILCertificato CA di Grid , generato dall'autorità di certificazione StorageGRID durante l'installazione StorageGRID , protegge tutto il traffico interno StorageGRID .

    Le informazioni sul certificato includono la data di scadenza e il contenuto del certificato.

    Puoi"copia o scarica il certificato Grid CA" , ma non puoi cambiarlo.

    Cliente

    Certificati client, generati da un'autorità di certificazione esterna, proteggono le connessioni tra gli strumenti di monitoraggio esterni e il database StorageGRID Prometheus.

    La tabella dei certificati contiene una riga per ogni certificato client configurato e indica se il certificato può essere utilizzato per l'accesso al database Prometheus, insieme alla data di scadenza del certificato.

    Puoi:

    Endpoint del bilanciatore del carico

    Certificati degli endpoint del bilanciatore del caricoproteggere le connessioni tra i client S3 e il servizio StorageGRID Load Balancer sui nodi gateway e sui nodi amministrativi.

    La tabella degli endpoint del bilanciatore del carico contiene una riga per ogni endpoint del bilanciatore del carico configurato e indica se per l'endpoint viene utilizzato il certificato API S3 globale o un certificato endpoint del bilanciatore del carico personalizzato. Per ogni certificato viene visualizzata anche la data di scadenza.

    Nota Le modifiche al certificato di un endpoint possono richiedere fino a 15 minuti per essere applicate a tutti i nodi.

    Puoi:

    inquilini

    Gli inquilini possono utilizzarecertificati del server di federazione delle identità Ocertificati endpoint del servizio di piattaforma per proteggere le loro connessioni con StorageGRID.

    La tabella dei tenant contiene una riga per ogni tenant e indica se ogni tenant ha l'autorizzazione a utilizzare la propria fonte di identità o i servizi della piattaforma.

    Puoi:

    Altro

    StorageGRID utilizza altri certificati di sicurezza per scopi specifici. Questi certificati sono elencati in base al loro nome funzionale. Altri certificati di sicurezza includono:

    Le informazioni indicano il tipo di certificato utilizzato da una funzione e le date di scadenza dei certificati server e client, se applicabile. Selezionando il nome di una funzione si apre una scheda del browser in cui è possibile visualizzare e modificare i dettagli del certificato.

    Nota È possibile visualizzare e accedere alle informazioni per altri certificati solo se si dispone dell'"autorizzazione appropriata" .

    Puoi:

Dettagli del certificato di sicurezza

Di seguito viene descritto ciascun tipo di certificato di sicurezza, con link alle istruzioni di implementazione.

Certificato di interfaccia di gestione

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione tra i browser Web client e l'interfaccia di gestione StorageGRID , consentendo agli utenti di accedere a Grid Manager e Tenant Manager senza avvisi di sicurezza.

Questo certificato autentica anche le connessioni Grid Management API e Tenant Management API.

È possibile utilizzare il certificato predefinito creato durante l'installazione oppure caricare un certificato personalizzato.

CONFIGURAZIONE > Sicurezza > Certificati, seleziona la scheda Globale, quindi seleziona Certificato dell'interfaccia di gestione

"Configurare i certificati dell'interfaccia di gestione"

Certificato API S3

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica le connessioni client S3 sicure a un nodo di archiviazione e agli endpoint del bilanciatore del carico (facoltativo).

CONFIGURAZIONE > Sicurezza > Certificati, seleziona la scheda Globale, quindi seleziona Certificato API S3

"Configurare i certificati API S3"

Certificato CA di Grid

Vedi ilDescrizione del certificato CA Grid predefinito .

Certificato client amministratore

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Cliente

Installato su ciascun client, consente a StorageGRID di autenticare l'accesso dei client esterni.

  • Consente ai client esterni autorizzati di accedere al database StorageGRID Prometheus.

  • Consente il monitoraggio sicuro di StorageGRID tramite strumenti esterni.

CONFIGURAZIONE > Sicurezza > Certificati e quindi selezionare la scheda Client

"Configurare i certificati client"

Certificato dell'endpoint del bilanciatore del carico

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione tra i client S3 e il servizio StorageGRID Load Balancer sui nodi gateway e sui nodi amministrativi. È possibile caricare o generare un certificato del bilanciatore del carico quando si configura un endpoint del bilanciatore del carico. Le applicazioni client utilizzano il certificato del bilanciatore del carico quando si connettono a StorageGRID per salvare e recuperare i dati degli oggetti.

Puoi anche utilizzare una versione personalizzata del globaleCertificato API S3 certificato per autenticare le connessioni al servizio Load Balancer. Se il certificato globale viene utilizzato per autenticare le connessioni del bilanciatore del carico, non è necessario caricare o generare un certificato separato per ogni endpoint del bilanciatore del carico.

Nota: il certificato utilizzato per l'autenticazione del bilanciatore del carico è il certificato più utilizzato durante il normale funzionamento StorageGRID .

CONFIGURAZIONE > Rete > Endpoint del bilanciatore del carico

Certificato endpoint del pool di archiviazione cloud

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione da un pool di archiviazione cloud StorageGRID a una posizione di archiviazione esterna, ad esempio S3 Glacier o Microsoft Azure Blob Storage. Per ogni tipo di provider cloud è richiesto un certificato diverso.

ILM > Pool di archiviazione

"Creare un pool di archiviazione cloud"

Certificato di notifica di avviso via e-mail

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server e client

Autentica la connessione tra un server di posta elettronica SMTP e StorageGRID utilizzata per le notifiche di avviso.

  • Se le comunicazioni con il server SMTP richiedono Transport Layer Security (TLS), è necessario specificare il certificato CA del server di posta elettronica.

  • Specificare un certificato client solo se il server di posta elettronica SMTP richiede certificati client per l'autenticazione.

AVVISI > Configurazione e-mail

"Imposta notifiche e-mail per gli avvisi"

Certificato del server syslog esterno

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione TLS o RELP/TLS tra un server syslog esterno che registra gli eventi in StorageGRID.

Nota: non è richiesto un certificato del server syslog esterno per le connessioni TCP, RELP/TCP e UDP a un server syslog esterno.

CONFIGURAZIONE > Monitoraggio > Server di audit e syslog

"Utilizzare un server syslog esterno"

Certificato di connessione alla federazione di rete

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server e client

Autenticare e crittografare le informazioni inviate tra l'attuale sistema StorageGRID e un'altra griglia in una connessione di federazione di griglia.

CONFIGURAZIONE > Sistema > Federazione di griglia

Certificato di federazione dell'identità

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione tra StorageGRID e un provider di identità esterno, come Active Directory, OpenLDAP o Oracle Directory Server. Utilizzato per la federazione delle identità, che consente la gestione di gruppi di amministratori e utenti da parte di un sistema esterno.

CONFIGURAZIONE > Controllo accessi > Federazione identità

"Utilizzare la federazione delle identità"

Certificato del server di gestione delle chiavi (KMS)

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server e client

Autentica la connessione tra StorageGRID e un server di gestione delle chiavi esterno (KMS), che fornisce chiavi di crittografia ai nodi dell'appliance StorageGRID .

CONFIGURAZIONE > Sicurezza > Server di gestione delle chiavi

"Aggiungi server di gestione delle chiavi (KMS)"

Certificato endpoint dei servizi di piattaforma

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione dal servizio della piattaforma StorageGRID a una risorsa di archiviazione S3.

Gestore inquilino > ARCHIVIAZIONE (S3) > Endpoint dei servizi della piattaforma

"Crea endpoint dei servizi della piattaforma"

"Modifica endpoint dei servizi della piattaforma"

Certificato Single Sign-On (SSO)

Tipo di certificato Descrizione Posizione di navigazione Dettagli

Server

Autentica la connessione tra i servizi di federazione delle identità, come Active Directory Federation Services (AD FS) e StorageGRID , utilizzati per le richieste Single Sign-On (SSO).

CONFIGURAZIONE > Controllo accessi > Single sign-on

"Configurare l'accesso singolo"

Esempi di certificati

Esempio 1: servizio Load Balancer

In questo esempio, StorageGRID funge da server.

  1. È possibile configurare un endpoint del bilanciatore del carico e caricare o generare un certificato del server in StorageGRID.

  2. Si configura una connessione client S3 all'endpoint del bilanciatore del carico e si carica lo stesso certificato sul client.

  3. Quando il client desidera salvare o recuperare dati, si connette all'endpoint del bilanciatore del carico tramite HTTPS.

  4. StorageGRID risponde con il certificato del server, che contiene una chiave pubblica, e con una firma basata sulla chiave privata.

  5. Il client verifica questo certificato confrontando la firma del server con la firma presente sulla propria copia del certificato. Se le firme corrispondono, il client avvia una sessione utilizzando la stessa chiave pubblica.

  6. Il client invia i dati dell'oggetto a StorageGRID.

Esempio 2: Server di gestione delle chiavi esterno (KMS)

In questo esempio, StorageGRID funge da client.

  1. Utilizzando il software Key Management Server esterno, è possibile configurare StorageGRID come client KMS e ottenere un certificato server firmato da una CA, un certificato client pubblico e la chiave privata per il certificato client.

  2. Utilizzando Grid Manager, puoi configurare un server KMS e caricare i certificati del server e del client, nonché la chiave privata del client.

  3. Quando un nodo StorageGRID necessita di una chiave di crittografia, invia una richiesta al server KMS che include i dati del certificato e una firma basata sulla chiave privata.

  4. Il server KMS convalida la firma del certificato e decide che StorageGRID può essere considerato attendibile.

  5. Il server KMS risponde utilizzando la connessione convalidata.