セキュリティを設定します
変更を提案
PDF
StorageGRID システムのセキュリティを保護するために、 Grid Manager でさまざまなセキュリティ設定を行うことができます。
証明書
StorageGRID では、 2 種類のセキュリティ証明書が使用されます。
-
HTTPS 接続を使用する場合は、サーバ証明書が必要です。サーバ証明書は、クライアントとサーバ間のセキュアな接続を確立し、クライアントに対するサーバの ID を認証し、データのセキュアな通信パスを提供するために使用されます。サーバとクライアントには、それぞれ証明書のコピーがあります。
-
クライアント証明書は、クライアントまたはユーザ ID をサーバに対して認証し、パスワードだけではなくよりも安全な認証を提供します。クライアント証明書はデータを暗号化しません。
すべての StorageGRID 証明書は、 * configuration * > * Security * > * Certificates * ページで表示できます。
キー管理サーバ
1 つ以上の外部キー管理サーバ( KMS )を設定して、 StorageGRID サービスとストレージアプライアンスに暗号化キーを提供できます。KMS や KMS の各クラスタは、 Key Management Interoperability Protocol ( KMIP )を使用して、関連する StorageGRID サイトにあるアプライアンスノードに暗号化キーを提供します。キー管理サーバを使用すると、アプライアンスをデータセンターから削除した場合でも StorageGRID データを保護できます。アプライアンスのボリュームを暗号化すると、ノードが KMS と通信できないかぎり、アプライアンスのデータにアクセスすることはできません。
|
暗号化キー管理を使用するには、インストール時にアプライアンスをグリッドに追加する前に、アプライアンスごとに * Node Encryption * の設定を有効にする必要があります。 |
プロキシ設定
S3 プラットフォームサービスまたはクラウドストレージプールを使用している場合は、ストレージノードと外部の S3 エンドポイントの間に非透過型プロキシサーバを設定できます。HTTPS または HTTP を使用して AutoSupport メッセージを送信する場合は、管理ノードとテクニカルサポートの間に非透過型プロキシサーバを設定できます。
信頼されていないクライアントネットワーク
クライアントネットワークを使用している場合は、各ノードのクライアントネットワークを信頼されていないものと指定することで、 StorageGRID を悪意のある攻撃から保護できます。ノードのクライアントネットワークが信頼されていない場合、ノードはロードバランサエンドポイントとして明示的に設定されたポートのインバウンド接続だけを受け入れます。
たとえば、 HTTPS S3 要求を除くクライアントネットワーク上のすべてのインバウンドトラフィックをゲートウェイノードで拒否できます。あるいは、ストレージノードからの S3 プラットフォームサービスのアウトバウンドトラフィックを有効にして、クライアントネットワークでのそのストレージノードへのインバウンド接続を禁止することができます。