信頼されていないクライアントネットワークの管理
クライアントネットワークを使用している場合は、明示的に設定されたエンドポイントでのみインバウンドクライアントトラフィックを受け入れることで、悪意のある攻撃から StorageGRID を保護できます。
デフォルトでは、各グリッドノードのクライアントネットワークは trusted_ です。つまり、StorageGRID は、使用可能なすべての外部ポートでの各グリッドノードへのインバウンド接続をデフォルトで信頼します(ネットワークガイドラインの外部通信に関する情報を参照)。
各ノードのクライアントネットワークを「 untrusted_ 」に指定することで、 StorageGRID システムに対する悪意ある攻撃の脅威を軽減できます。ノードのクライアントネットワークが信頼されていない場合、ノードはロードバランサエンドポイントとして明示的に設定されたポートのインバウンド接続だけを受け入れます。
例 1 :ゲートウェイノードが HTTPS S3 要求のみを受け入れる
ゲートウェイノードで、 HTTPS S3 要求を除くクライアントネットワーク上のすべてのインバウンドトラフィックを拒否するとします。この場合、次の一般的な手順を実行します。
-
Load Balancer Endpoints ページで、ポート 443 で S3 over HTTPS のロードバランサエンドポイントを設定します。
-
Untrusted Client Networks ページで、ゲートウェイノードのクライアントネットワークが信頼されていないことを指定します。
設定を保存すると、ポート 443 での HTTPS S3 要求と ICMP エコー( ping )要求を除き、ゲートウェイノードのクライアントネットワーク上のすべてのインバウンドトラフィックが破棄されます。
例 2 :ストレージノードが S3 プラットフォームサービス要求を送信する
あるストレージノードからのアウトバウンド S3 プラットフォームサービストラフィックは有効にするが、クライアントネットワークでそのストレージノードへのインバウンド接続は禁止するとします。この場合は、次の手順を実行します。
-
Untrusted Client Networks ページで、ストレージノード上のクライアントネットワークが信頼されていないことを指定します。
設定を保存すると、ストレージノードはクライアントネットワークで受信トラフィックを受け入れなくなりますが、 Amazon Web Services へのアウトバウンド要求は引き続き許可します。