Gestire i certificati di sicurezza
Suggerisci modifiche
PDF
I certificati di sicurezza sono piccoli file di dati utilizzati per creare connessioni sicure e affidabili tra i componenti di StorageGRID e tra i componenti di StorageGRID e i sistemi esterni.
StorageGRID utilizza due tipi di certificati di sicurezza:
-
I certificati server sono richiesti quando si utilizzano connessioni HTTPS. I certificati del server vengono utilizzati per stabilire connessioni sicure tra client e server, autenticando l'identità di un server nei suoi client e fornendo un percorso di comunicazione sicuro per i dati. Il server e il client dispongono di una copia del certificato.
-
Certificati client autenticano un'identità del client o dell'utente sul server, fornendo un'autenticazione più sicura rispetto alle sole password. I certificati client non crittografano i dati.
Quando un client si connette al server utilizzando HTTPS, il server risponde con il certificato del server, che contiene una chiave pubblica. Il client verifica questo certificato confrontando la firma del server con la firma sulla copia del certificato. Se le firme corrispondono, il client avvia una sessione con il server utilizzando la stessa chiave pubblica.
StorageGRID funziona come server per alcune connessioni (come l'endpoint del bilanciamento del carico) o come client per altre connessioni (come il servizio di replica di CloudMirror).
Certificato Grid CA predefinito
StorageGRID include un'autorità di certificazione (CA) incorporata che genera un certificato Grid CA interno durante l'installazione del sistema. Il certificato Grid CA viene utilizzato, per impostazione predefinita, per proteggere il traffico StorageGRID interno. Un'autorità di certificazione esterna (CA) può emettere certificati personalizzati pienamente conformi ai criteri di sicurezza delle informazioni dell'organizzazione. Sebbene sia possibile utilizzare il certificato Grid CA per un ambiente non di produzione, la procedura consigliata per un ambiente di produzione consiste nell'utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna. Sono supportate anche connessioni non protette senza certificato, ma non sono consigliate.
-
I certificati CA personalizzati non rimuovono i certificati interni; tuttavia, i certificati personalizzati devono essere quelli specificati per la verifica delle connessioni al server.
-
Tutti i certificati personalizzati devono soddisfare la "linee guida per la protezione avanzata del sistema per i certificati server".
-
StorageGRID supporta il raggruppamento di certificati da una CA in un singolo file (noto come bundle di certificati CA).
|
StorageGRID include anche certificati CA del sistema operativo che sono gli stessi su tutte le griglie. Negli ambienti di produzione, assicurarsi di specificare un certificato personalizzato firmato da un'autorità di certificazione esterna al posto del certificato CA del sistema operativo. |
Le varianti dei tipi di certificato server e client vengono implementate in diversi modi. Prima di configurare il sistema, è necessario disporre di tutti i certificati necessari per la configurazione specifica di StorageGRID.
Accesso ai certificati di sicurezza
È possibile accedere alle informazioni su tutti i certificati StorageGRID in una singola posizione, insieme ai collegamenti al flusso di lavoro di configurazione per ciascun certificato.
-
Da Grid Manager, selezionare CONFIGURATION > Security > Certificates.
-
Selezionare una scheda nella pagina certificati per informazioni su ciascuna categoria di certificati e per accedere alle impostazioni del certificato. È possibile accedere a una scheda se si dispone di "autorizzazione appropriata".
-
Globale: Protegge l'accesso a StorageGRID da browser Web e client API esterni.
-
Grid CA: Protegge il traffico StorageGRID interno.
-
Client: Protegge le connessioni tra client esterni e il database StorageGRID Prometheus.
-
Endpoints del bilanciamento del carico: Protegge le connessioni tra i client S3 e il bilanciamento del carico StorageGRID.
-
Tenant: Protegge le connessioni ai server di federazione delle identità o dagli endpoint dei servizi della piattaforma alle risorse di storage S3.
-
Altro: Protegge le connessioni StorageGRID che richiedono certificati specifici.
Ciascuna scheda viene descritta di seguito con collegamenti a dettagli aggiuntivi del certificato.
GlobaleI certificati globali proteggono l'accesso StorageGRID dai browser Web e dai client API S3 esterni. Durante l'installazione, l'autorità di certificazione StorageGRID genera inizialmente due certificati globali. La procedura consigliata per un ambiente di produzione consiste nell'utilizzare certificati personalizzati firmati da un'autorità di certificazione esterna.
-
Certificato dell'interfaccia di gestione: Protegge le connessioni del browser Web del client alle interfacce di gestione StorageGRID.
-
Certificato API S3: Protegge le connessioni API client ai nodi di archiviazione, ai nodi amministrativi e ai nodi gateway, che le applicazioni client S3 utilizzano per caricare e scaricare i dati oggetto.
Le informazioni sui certificati globali installati includono:
-
Nome: Nome del certificato con collegamento alla gestione del certificato.
-
Descrizione
-
Type: Personalizzato o predefinito. + per una maggiore sicurezza della griglia, è necessario utilizzare sempre un certificato personalizzato.
-
Data di scadenza: Se si utilizza il certificato predefinito, non viene visualizzata alcuna data di scadenza.
È possibile:
-
Sostituire i certificati predefiniti con certificati personalizzati firmati da un'autorità di certificazione esterna per una maggiore sicurezza della griglia:
-
"Sostituire il certificato predefinito dell'interfaccia di gestione generata da StorageGRID" Utilizzato per le connessioni di Grid Manager e Tenant Manager.
-
"Sostituire il certificato API S3" Utilizzato per connessioni endpoint nodo storage e bilanciamento del carico (opzionali).
-
-
"Ripristinare il certificato dell'interfaccia di gestione predefinita".
-
"Utilizzare uno script per generare un nuovo certificato autofirmato dell'interfaccia di gestione".
-
Copiare o scaricare "certificato dell'interfaccia di gestione"o "Certificato API S3".
CA grigliaIl Certificato Grid CA, generato dall'autorità di certificazione StorageGRID durante l'installazione di StorageGRID, protegge tutto il traffico StorageGRID interno.
Le informazioni sul certificato includono la data di scadenza del certificato e il contenuto del certificato.
È possibile "Copia o scarica il certificato Grid CA", ma non è possibile modificarlo.
ClientCertificati client, Generato da un'autorità di certificazione esterna, proteggere le connessioni tra gli strumenti di monitoraggio esterni e il database di StorageGRID Prometheus.
La tabella dei certificati contiene una riga per ciascun certificato client configurato e indica se il certificato può essere utilizzato per l'accesso al database Prometheus, insieme alla data di scadenza del certificato.
È possibile:
-
Selezionare il nome di un certificato per visualizzare i dettagli del certificato in cui è possibile:
-
Selezionare azioni per rapidamente "modifica", "allega"o "rimuovere" un certificato client. È possibile selezionare fino a 10 certificati client e rimuoverli contemporaneamente utilizzando azioni > Rimuovi.
Endpoint del bilanciamento del caricoCertificati endpoint per il bilanciamento del carico Proteggere le connessioni tra i client S3 e il servizio di bilanciamento del carico StorageGRID su nodi gateway e nodi amministrativi.
La tabella degli endpoint del bilanciamento del carico contiene una riga per ogni endpoint del bilanciamento del carico configurato e indica se per l'endpoint viene utilizzato il certificato API S3 globale o un certificato endpoint del bilanciamento del carico personalizzato. Viene visualizzata anche la data di scadenza di ciascun certificato.
Le modifiche a un certificato endpoint possono richiedere fino a 15 minuti per essere applicate a tutti i nodi. È possibile:
-
"Visualizzare un endpoint di bilanciamento del carico", inclusi i dettagli del certificato.
-
"Specificare un certificato endpoint per il bilanciamento del carico per FabricPool."
-
"Utilizzare il certificato API S3 globale" invece di generare un nuovo certificato endpoint per il bilanciamento del carico.
TenantI locatari possono utilizzare certificati del server di federazione delle identità o certificati endpoint del servizio di piattaformaassicurare le loro connessioni con StorageGRID.
La tabella tenant ha una riga per ciascun tenant e indica se ciascun tenant dispone dell'autorizzazione per utilizzare la propria origine di identità o i propri servizi di piattaforma.
È possibile:
-
"Selezionare il nome di un tenant per accedere al tenant manager"
-
"Selezionare un nome tenant per visualizzare i dettagli della federazione delle identità del tenant"
-
"Selezionare un nome tenant per visualizzare i dettagli dei servizi della piattaforma tenant"
-
"Specificare un certificato endpoint del servizio di piattaforma durante la creazione dell'endpoint"
AltroStorageGRID utilizza altri certificati di sicurezza per scopi specifici. Questi certificati sono elencati in base al nome funzionale. Altri certificati di sicurezza includono:
Le informazioni indicano il tipo di certificato utilizzato da una funzione e le relative date di scadenza del certificato server e client, a seconda dei casi. Selezionando il nome di una funzione si apre una scheda del browser in cui è possibile visualizzare e modificare i dettagli del certificato.
È possibile visualizzare e accedere alle informazioni relative ad altri certificati solo se si dispone di "autorizzazione appropriata". È possibile:
-
"Specificare un certificato Cloud Storage Pool per S3, C2S S3 o Azure"
-
"Specificare un certificato per le notifiche e-mail di avviso"
-
"Visualizzare e modificare un certificato di federazione delle identità"
-
"Caricare i certificati del server e del client del server di gestione delle chiavi (KMS)"
-
"Specificare manualmente un certificato SSO per un trust della parte che si basa"
-
Dettagli del certificato di sicurezza
Di seguito sono descritti i tipi di certificato di protezione, con collegamenti alle istruzioni di implementazione.
Certificato dell'interfaccia di gestione
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione tra i browser Web client e l'interfaccia di gestione di StorageGRID, consentendo agli utenti di accedere a Grid Manager e Tenant Manager senza avvisi di sicurezza. Questo certificato autentica anche le connessioni API Grid Management e API Tenant Management. È possibile utilizzare il certificato predefinito creato durante l'installazione o caricare un certificato personalizzato. |
CONFIGURATION > Security > Certificates, selezionare la scheda Global, quindi selezionare Management interface certificate |
Certificato API S3
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica le connessioni client S3 sicure a un nodo di storage e agli endpoint del bilanciamento del carico (opzionale). |
CONFIGURAZIONE > sicurezza > certificati, selezionare la scheda Globale, quindi selezionare certificato API S3 |
Certificato Grid CA
Consultare la Descrizione del certificato Grid CA predefinito.
Certificato del client di amministratore
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Client |
Installato su ciascun client, consentendo a StorageGRID di autenticare l'accesso client esterno.
|
CONFIGURAZIONE > sicurezza > certificati, quindi selezionare la scheda Client |
Certificato endpoint per il bilanciamento del carico
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione tra i client S3 e il servizio di bilanciamento del carico StorageGRID sui nodi gateway e i nodi amministrativi. È possibile caricare o generare un certificato di bilanciamento del carico quando si configura un endpoint di bilanciamento del carico. Le applicazioni client utilizzano il certificato di bilanciamento del carico durante la connessione a StorageGRID per salvare e recuperare i dati degli oggetti. È inoltre possibile utilizzare una versione personalizzata del certificato globale Certificato API S3per autenticare le connessioni al servizio Load Balancer. Se il certificato globale viene utilizzato per autenticare le connessioni del bilanciamento del carico, non è necessario caricare o generare un certificato separato per ciascun endpoint del bilanciamento del carico. Nota: il certificato utilizzato per l'autenticazione del bilanciamento del carico è il certificato più utilizzato durante il normale funzionamento StorageGRID. |
CONFIGURAZIONE > rete > endpoint del bilanciamento del carico |
Certificato endpoint Cloud Storage Pool
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione da un pool di storage cloud StorageGRID a una posizione di storage esterna, ad esempio lo storage S3 Glacier o Microsoft Azure Blob. Per ogni tipo di cloud provider è necessario un certificato diverso. |
ILM > Storage Pools |
Certificato di notifica degli avvisi via email
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server e client |
Autentica la connessione tra un server e-mail SMTP e StorageGRID utilizzato per le notifiche degli avvisi.
|
ALERTS > email setup |
Certificato server syslog esterno
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione TLS o RELP/TLS tra un server syslog esterno che registra gli eventi in StorageGRID. Nota: non è richiesto un certificato server syslog esterno per le connessioni TCP, RELP/TCP e UDP a un server syslog esterno. |
CONFIGURAZIONE > monitoraggio > Audit and syslog server |
certificato di connessione Grid Federation
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server e client |
Autenticare e crittografare le informazioni inviate tra il sistema StorageGRID corrente e un'altra griglia in una connessione a federazione di griglie. |
CONFIGURAZIONE > sistema > federazione griglia |
Certificato di federazione delle identità
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione tra StorageGRID e un provider di identità esterno, ad esempio Active Directory, OpenLDAP o Oracle Directory Server. Utilizzato per la federazione delle identità, che consente ai gruppi di amministrazione e agli utenti di essere gestiti da un sistema esterno. |
CONFIGURAZIONE > controllo accessi > federazione identità |
Certificato del Key Management Server (KMS)
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server e client |
Autentica la connessione tra StorageGRID e un KMS (Key Management Server) esterno, che fornisce chiavi di crittografia ai nodi appliance StorageGRID. |
CONFIGURAZIONE > sicurezza > Server di gestione delle chiavi |
Certificato endpoint dei servizi di piattaforma
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione dal servizio della piattaforma StorageGRID a una risorsa di storage S3. |
Tenant Manager > STORAGE (S3) > endpoint dei servizi della piattaforma |
Certificato SSO (Single Sign-on)
| Tipo di certificato | Descrizione | Posizione di navigazione | Dettagli |
|---|---|---|---|
Server |
Autentica la connessione tra i servizi di federazione delle identità, come ad FS (Active Directory Federation Services) e StorageGRID, utilizzati per le richieste SSO (Single Sign-on). |
CONFIGURAZIONE > controllo di accesso > Single Sign-on |
Esempi di certificati
Esempio 1: Servizio di bilanciamento del carico
In questo esempio, StorageGRID agisce come server.
-
È possibile configurare un endpoint di bilanciamento del carico e caricare o generare un certificato server in StorageGRID.
-
Si configura una connessione client S3 all'endpoint del bilanciamento del carico e si carica lo stesso certificato sul client.
-
Quando il client desidera salvare o recuperare i dati, si connette all'endpoint del bilanciamento del carico utilizzando HTTPS.
-
StorageGRID risponde con il certificato del server, che contiene una chiave pubblica, e con una firma basata sulla chiave privata.
-
Il client verifica questo certificato confrontando la firma del server con la firma sulla copia del certificato. Se le firme corrispondono, il client avvia una sessione utilizzando la stessa chiave pubblica.
-
Il client invia i dati dell'oggetto a StorageGRID.
Esempio 2: Server KMS (Key Management Server) esterno
In questo esempio, StorageGRID agisce come client.
-
Utilizzando il software del server di gestione delle chiavi esterno, è possibile configurare StorageGRID come client KMS e ottenere un certificato server con firma CA, un certificato client pubblico e la chiave privata per il certificato client.
-
Utilizzando Grid Manager, è possibile configurare un server KMS e caricare i certificati server e client e la chiave privata del client.
-
Quando un nodo StorageGRID necessita di una chiave di crittografia, effettua una richiesta al server KMS che include i dati del certificato e una firma basata sulla chiave privata.
-
Il server KMS convalida la firma del certificato e decide che può fidarsi di StorageGRID.
-
Il server KMS risponde utilizzando la connessione validata.