Gestire i certificati di sicurezza
I certificati di sicurezza sono piccoli file di dati utilizzati per creare connessioni sicure e affidabili tra i componenti StorageGRID e tra i componenti StorageGRID e i sistemi esterni.
StorageGRID utilizza due tipi di certificati di sicurezza:
-
I certificati del server sono obbligatori quando si utilizzano connessioni HTTPS. I certificati server vengono utilizzati per stabilire connessioni sicure tra client e server, autenticando l'identità di un server rispetto ai suoi client e fornendo un percorso di comunicazione sicuro per i dati. Sia il server che il client dispongono ciascuno di una copia del certificato.
-
I certificati client autenticano l'identità di un client o di un utente sul server, garantendo un'autenticazione più sicura rispetto alle sole password. I certificati client non crittografano i dati.
Quando un client si connette al server tramite HTTPS, il server risponde con il certificato del server, che contiene una chiave pubblica. Il client verifica questo certificato confrontando la firma del server con la firma presente sulla propria copia del certificato. Se le firme corrispondono, il client avvia una sessione con il server utilizzando la stessa chiave pubblica.
StorageGRID funge da server per alcune connessioni (ad esempio l'endpoint del bilanciatore del carico) o da client per altre connessioni (ad esempio il servizio di replica CloudMirror).
Certificato CA predefinito della griglia
StorageGRID include un'autorità di certificazione (CA) integrata che genera un certificato CA Grid interno durante l'installazione del sistema. Per impostazione predefinita, il certificato Grid CA viene utilizzato per proteggere il traffico StorageGRID interno. Un'autorità di certificazione (CA) esterna può rilasciare certificati personalizzati pienamente conformi alle policy di sicurezza delle informazioni della tua organizzazione. Sebbene sia possibile utilizzare il certificato Grid CA per un ambiente non di produzione, la procedura consigliata per un ambiente di produzione è quella di utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna. Sono supportate anche le connessioni non protette senza certificato, ma non sono consigliate.
-
I certificati CA personalizzati non rimuovono i certificati interni; tuttavia, i certificati personalizzati dovrebbero essere quelli specificati per la verifica delle connessioni al server.
-
Tutti i certificati personalizzati devono soddisfare i"linee guida per il rafforzamento del sistema per i certificati del server" .
-
StorageGRID supporta il raggruppamento dei certificati di una CA in un singolo file (noto come pacchetto di certificati CA).
|
StorageGRID include anche certificati CA del sistema operativo che sono gli stessi su tutte le griglie. Negli ambienti di produzione, assicurarsi di specificare un certificato personalizzato firmato da un'autorità di certificazione esterna al posto del certificato CA del sistema operativo. |
Le varianti dei tipi di certificato server e client vengono implementate in diversi modi. Prima di configurare il sistema, è necessario disporre di tutti i certificati necessari per la configurazione specifica StorageGRID .
Certificati di sicurezza di accesso
È possibile accedere alle informazioni su tutti i certificati StorageGRID in un'unica posizione, insieme ai collegamenti al flusso di lavoro di configurazione per ciascun certificato.
-
Da Grid Manager, seleziona CONFIGURAZIONE > Sicurezza > Certificati.
-
Selezionare una scheda nella pagina Certificati per informazioni su ciascuna categoria di certificato e per accedere alle impostazioni del certificato. Puoi accedere a una scheda se hai"autorizzazione appropriata" .
-
Globale: Protegge l'accesso a StorageGRID da browser Web e client API esterni.
-
Grid CA: protegge il traffico StorageGRID interno.
-
Client: protegge le connessioni tra client esterni e il database StorageGRID Prometheus.
-
Endpoint del bilanciatore del carico: protegge le connessioni tra i client S3 e il bilanciatore del carico StorageGRID .
-
Tenant: protegge le connessioni ai server di federazione delle identità o dagli endpoint dei servizi di piattaforma alle risorse di archiviazione S3.
-
Altro: protegge le connessioni StorageGRID che richiedono certificati specifici.
Di seguito viene descritta ogni scheda con link ad ulteriori dettagli sul certificato.
GlobaleI certificati globali proteggono l'accesso a StorageGRID dai browser Web e dai client API S3 esterni. Durante l'installazione, inizialmente l'autorità di certificazione StorageGRID genera due certificati globali. La procedura migliore per un ambiente di produzione è quella di utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna.
-
Certificato di interfaccia di gestione: Protegge le connessioni del browser Web del client alle interfacce di gestione StorageGRID .
-
Certificato API S3: Protegge le connessioni API client ai nodi di archiviazione, ai nodi di amministrazione e ai nodi gateway, che le applicazioni client S3 utilizzano per caricare e scaricare i dati degli oggetti.
Le informazioni sui certificati globali installati includono:
-
Nome: Nome del certificato con collegamento alla gestione del certificato.
-
Descrizione
-
Tipo: personalizzato o predefinito. + Per una maggiore sicurezza della rete, dovresti sempre utilizzare un certificato personalizzato.
-
Data di scadenza: se si utilizza il certificato predefinito, non viene visualizzata alcuna data di scadenza.
Puoi:
-
Sostituisci i certificati predefiniti con certificati personalizzati firmati da un'autorità di certificazione esterna per migliorare la sicurezza della griglia:
-
"Sostituisci il certificato dell'interfaccia di gestione predefinita generata da StorageGRID"utilizzato per le connessioni Grid Manager e Tenant Manager.
-
"Sostituisci il certificato API S3"utilizzato per le connessioni del nodo di archiviazione e dell'endpoint del bilanciatore del carico (facoltativo).
-
-
"Ripristina il certificato dell'interfaccia di gestione predefinita" .
-
"Utilizzare uno script per generare un nuovo certificato di interfaccia di gestione autofirmato" .
-
Copia o scarica il"certificato di interfaccia di gestione" O"Certificato API S3" .
Griglia CAILCertificato CA di Grid , generato dall'autorità di certificazione StorageGRID durante l'installazione StorageGRID , protegge tutto il traffico interno StorageGRID .
Le informazioni sul certificato includono la data di scadenza e il contenuto del certificato.
Puoi"copia o scarica il certificato Grid CA" , ma non puoi cambiarlo.
ClienteCertificati client, generati da un'autorità di certificazione esterna, proteggono le connessioni tra gli strumenti di monitoraggio esterni e il database StorageGRID Prometheus.
La tabella dei certificati contiene una riga per ogni certificato client configurato e indica se il certificato può essere utilizzato per l'accesso al database Prometheus, insieme alla data di scadenza del certificato.
Puoi:
-
Seleziona un nome di certificato per visualizzarne i dettagli, dove puoi:
-
Seleziona Azioni per eseguire rapidamente"modificare" ,"allegare" , O"rimuovere" un certificato client. È possibile selezionare fino a 10 certificati client e rimuoverli contemporaneamente utilizzando Azioni > Rimuovi.
Endpoint del bilanciatore del caricoCertificati degli endpoint del bilanciatore del caricoproteggere le connessioni tra i client S3 e il servizio StorageGRID Load Balancer sui nodi gateway e sui nodi amministrativi.
La tabella degli endpoint del bilanciatore del carico contiene una riga per ogni endpoint del bilanciatore del carico configurato e indica se per l'endpoint viene utilizzato il certificato API S3 globale o un certificato endpoint del bilanciatore del carico personalizzato. Per ogni certificato viene visualizzata anche la data di scadenza.
Le modifiche al certificato di un endpoint possono richiedere fino a 15 minuti per essere applicate a tutti i nodi. Puoi:
-
"Visualizza un endpoint del bilanciatore del carico", compresi i dettagli del suo certificato.
-
"Specificare un certificato dell'endpoint del bilanciatore del carico per FabricPool."
-
"Utilizzare il certificato API S3 globale"invece di generare un nuovo certificato dell'endpoint del bilanciatore del carico.
inquiliniGli inquilini possono utilizzarecertificati del server di federazione delle identità Ocertificati endpoint del servizio di piattaforma per proteggere le loro connessioni con StorageGRID.
La tabella dei tenant contiene una riga per ogni tenant e indica se ogni tenant ha l'autorizzazione a utilizzare la propria fonte di identità o i servizi della piattaforma.
Puoi:
AltroStorageGRID utilizza altri certificati di sicurezza per scopi specifici. Questi certificati sono elencati in base al loro nome funzionale. Altri certificati di sicurezza includono:
Le informazioni indicano il tipo di certificato utilizzato da una funzione e le date di scadenza dei certificati server e client, se applicabile. Selezionando il nome di una funzione si apre una scheda del browser in cui è possibile visualizzare e modificare i dettagli del certificato.
È possibile visualizzare e accedere alle informazioni per altri certificati solo se si dispone dell'"autorizzazione appropriata" . Puoi:
-
"Specificare un certificato Cloud Storage Pool per S3, C2S S3 o Azure"
-
"Specificare un certificato per le notifiche e-mail di avviso"
-
"Ruotare i certificati di connessione della federazione di rete"
-
"Visualizzare e modificare un certificato di federazione delle identità"
-
"Carica i certificati del server e del client del server di gestione delle chiavi (KMS)"
-
"Specificare manualmente un certificato SSO per un trust della parte affidabile"
-
Dettagli del certificato di sicurezza
Di seguito viene descritto ciascun tipo di certificato di sicurezza, con link alle istruzioni di implementazione.
Certificato di interfaccia di gestione
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server |
Autentica la connessione tra i browser Web client e l'interfaccia di gestione StorageGRID , consentendo agli utenti di accedere a Grid Manager e Tenant Manager senza avvisi di sicurezza. Questo certificato autentica anche le connessioni Grid Management API e Tenant Management API. È possibile utilizzare il certificato predefinito creato durante l'installazione oppure caricare un certificato personalizzato. |
CONFIGURAZIONE > Sicurezza > Certificati, seleziona la scheda Globale, quindi seleziona Certificato dell'interfaccia di gestione |
Certificato API S3
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server |
Autentica le connessioni client S3 sicure a un nodo di archiviazione e agli endpoint del bilanciatore del carico (facoltativo). |
CONFIGURAZIONE > Sicurezza > Certificati, seleziona la scheda Globale, quindi seleziona Certificato API S3 |
Certificato CA di Grid
Certificato client amministratore
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Cliente |
Installato su ciascun client, consente a StorageGRID di autenticare l'accesso dei client esterni.
|
CONFIGURAZIONE > Sicurezza > Certificati e quindi selezionare la scheda Client |
Certificato dell'endpoint del bilanciatore del carico
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server |
Autentica la connessione tra i client S3 e il servizio StorageGRID Load Balancer sui nodi gateway e sui nodi amministrativi. È possibile caricare o generare un certificato del bilanciatore del carico quando si configura un endpoint del bilanciatore del carico. Le applicazioni client utilizzano il certificato del bilanciatore del carico quando si connettono a StorageGRID per salvare e recuperare i dati degli oggetti. Puoi anche utilizzare una versione personalizzata del globaleCertificato API S3 certificato per autenticare le connessioni al servizio Load Balancer. Se il certificato globale viene utilizzato per autenticare le connessioni del bilanciatore del carico, non è necessario caricare o generare un certificato separato per ogni endpoint del bilanciatore del carico. Nota: il certificato utilizzato per l'autenticazione del bilanciatore del carico è il certificato più utilizzato durante il normale funzionamento StorageGRID . |
CONFIGURAZIONE > Rete > Endpoint del bilanciatore del carico |
Certificato endpoint del pool di archiviazione cloud
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server |
Autentica la connessione da un pool di archiviazione cloud StorageGRID a una posizione di archiviazione esterna, ad esempio S3 Glacier o Microsoft Azure Blob Storage. Per ogni tipo di provider cloud è richiesto un certificato diverso. |
ILM > Pool di archiviazione |
Certificato di notifica di avviso via e-mail
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server e client |
Autentica la connessione tra un server di posta elettronica SMTP e StorageGRID utilizzata per le notifiche di avviso.
|
AVVISI > Configurazione e-mail |
Certificato del server syslog esterno
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server |
Autentica la connessione TLS o RELP/TLS tra un server syslog esterno che registra gli eventi in StorageGRID. Nota: non è richiesto un certificato del server syslog esterno per le connessioni TCP, RELP/TCP e UDP a un server syslog esterno. |
CONFIGURAZIONE > Monitoraggio > Server di audit e syslog |
Certificato di connessione alla federazione di rete
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server e client |
Autenticare e crittografare le informazioni inviate tra l'attuale sistema StorageGRID e un'altra griglia in una connessione di federazione di griglia. |
CONFIGURAZIONE > Sistema > Federazione di griglia |
Certificato di federazione dell'identità
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server |
Autentica la connessione tra StorageGRID e un provider di identità esterno, come Active Directory, OpenLDAP o Oracle Directory Server. Utilizzato per la federazione delle identità, che consente la gestione di gruppi di amministratori e utenti da parte di un sistema esterno. |
CONFIGURAZIONE > Controllo accessi > Federazione identità |
Certificato del server di gestione delle chiavi (KMS)
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server e client |
Autentica la connessione tra StorageGRID e un server di gestione delle chiavi esterno (KMS), che fornisce chiavi di crittografia ai nodi dell'appliance StorageGRID . |
CONFIGURAZIONE > Sicurezza > Server di gestione delle chiavi |
Certificato endpoint dei servizi di piattaforma
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server |
Autentica la connessione dal servizio della piattaforma StorageGRID a una risorsa di archiviazione S3. |
Gestore inquilino > ARCHIVIAZIONE (S3) > Endpoint dei servizi della piattaforma |
Certificato Single Sign-On (SSO)
Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
---|---|---|---|
Server |
Autentica la connessione tra i servizi di federazione delle identità, come Active Directory Federation Services (AD FS) e StorageGRID , utilizzati per le richieste Single Sign-On (SSO). |
CONFIGURAZIONE > Controllo accessi > Single sign-on |
Esempi di certificati
Esempio 1: servizio Load Balancer
In questo esempio, StorageGRID funge da server.
-
È possibile configurare un endpoint del bilanciatore del carico e caricare o generare un certificato del server in StorageGRID.
-
Si configura una connessione client S3 all'endpoint del bilanciatore del carico e si carica lo stesso certificato sul client.
-
Quando il client desidera salvare o recuperare dati, si connette all'endpoint del bilanciatore del carico tramite HTTPS.
-
StorageGRID risponde con il certificato del server, che contiene una chiave pubblica, e con una firma basata sulla chiave privata.
-
Il client verifica questo certificato confrontando la firma del server con la firma presente sulla propria copia del certificato. Se le firme corrispondono, il client avvia una sessione utilizzando la stessa chiave pubblica.
-
Il client invia i dati dell'oggetto a StorageGRID.
Esempio 2: Server di gestione delle chiavi esterno (KMS)
In questo esempio, StorageGRID funge da client.
-
Utilizzando il software Key Management Server esterno, è possibile configurare StorageGRID come client KMS e ottenere un certificato server firmato da una CA, un certificato client pubblico e la chiave privata per il certificato client.
-
Utilizzando Grid Manager, puoi configurare un server KMS e caricare i certificati del server e del client, nonché la chiave privata del client.
-
Quando un nodo StorageGRID necessita di una chiave di crittografia, invia una richiesta al server KMS che include i dati del certificato e una firma basata sulla chiave privata.
-
Il server KMS convalida la firma del certificato e decide che StorageGRID può essere considerato attendibile.
-
Il server KMS risponde utilizzando la connessione convalidata.