Linee guida per il rafforzamento di TLS e SSH
È necessario sostituire i certificati predefiniti creati durante l'installazione e selezionare la policy di sicurezza appropriata per le connessioni TLS e SSH.
Linee guida per il rafforzamento dei certificati
Dovresti sostituire i certificati predefiniti creati durante l'installazione con i tuoi certificati personalizzati.
Per molte organizzazioni, il certificato digitale autofirmato per l'accesso web a StorageGRID non è conforme alle policy di sicurezza delle informazioni. Nei sistemi di produzione, è necessario installare un certificato digitale firmato da una CA da utilizzare per l'autenticazione StorageGRID.
Nello specifico, dovresti utilizzare certificati server personalizzati anziché questi certificati predefiniti:
-
Certificato dell'interfaccia di gestione: utilizzato per proteggere l'accesso a Grid Manager, Tenant Manager, Grid Management API e Tenant Management API.
-
Certificato API S3: utilizzato per proteggere l'accesso ai nodi di archiviazione e ai nodi gateway, che le applicazioni client S3 utilizzano per caricare e scaricare i dati degli oggetti.
Vedere"Gestire i certificati di sicurezza" per dettagli e istruzioni.
|
StorageGRID gestisce separatamente i certificati utilizzati per gli endpoint del bilanciatore del carico. Per configurare i certificati del bilanciatore del carico, vedere"Configurare gli endpoint del bilanciatore del carico" . |
Quando si utilizzano certificati server personalizzati, seguire queste linee guida:
-
I certificati dovrebbero avere un
subjectAltName
che corrisponde alle voci DNS per StorageGRID. Per i dettagli, vedere la sezione 4.2.1.6, "Nome alternativo dell'oggetto", in "RFC 5280: Certificato PKIX e profilo CRL" . -
Se possibile, evitare l'uso di certificati jolly. Un'eccezione a questa linea guida è il certificato per un endpoint in stile host virtuale S3, che richiede l'uso di un carattere jolly se i nomi dei bucket non sono noti in anticipo.
-
Quando è necessario utilizzare caratteri jolly nei certificati, è opportuno adottare misure aggiuntive per ridurre i rischi. Utilizzare un modello jolly come
*.s3.example.com
e non usare ils3.example.com
suffisso per altre applicazioni. Questo modello funziona anche con l'accesso S3 in stile percorso, comedc1-s1.s3.example.com/mybucket
. -
Imposta tempi di scadenza dei certificati brevi (ad esempio, 2 mesi) e utilizza l'API Grid Management per automatizzare la rotazione dei certificati. Ciò è particolarmente importante per i certificati jolly.
Inoltre, i client devono utilizzare un controllo rigoroso del nome host quando comunicano con StorageGRID.
Linee guida per il rafforzamento della politica TLS e SSH
È possibile selezionare una policy di sicurezza per determinare quali protocolli e cifrari vengono utilizzati per stabilire connessioni TLS sicure con le applicazioni client e connessioni SSH sicure con i servizi StorageGRID interni.
La policy di sicurezza controlla il modo in cui TLS e SSH crittografano i dati in movimento. Come buona pratica, dovresti disabilitare le opzioni di crittografia non necessarie per la compatibilità dell'applicazione. Utilizzare il criterio Modern predefinito, a meno che il sistema non debba essere conforme ai Common Criteria o non sia necessario utilizzare altri cifrari.
Vedere"Gestire la politica TLS e SSH" per dettagli e istruzioni.