TLSとSSHに関するセキュリティ強化ガイドライン
変更を提案
PDF
インストール時に作成されるデフォルトの証明書を置き換え、TLS接続とSSH接続に適切なセキュリティポリシーを選択する必要があります。
証明書に関するセキュリティ強化ガイドライン
インストール時に作成されたデフォルトの証明書を独自のカスタム証明書に置き換える必要があります。
多くの組織では、 StorageGRID Web アクセス用の自己署名デジタル証明書が、情報セキュリティポリシーに準拠していません。本番用システムでは、 StorageGRID の認証に使用する CA 署名デジタル証明書をインストールする必要があります。
具体的には、次のデフォルト証明書ではなくカスタムサーバ証明書を使用する必要があります。
-
* 管理インターフェイス証明書 * : Grid Manager 、 Tenant Manager 、 Grid 管理 API 、およびテナント管理 API へのアクセスを保護するために使用します。
-
* S3 および Swift API 証明書 * :ストレージノードおよびゲートウェイノードへのアクセスを保護するために使用します。これらのノードは、 S3 および Swift クライアントアプリケーションがオブジェクトデータのアップロードとダウンロードに使用します。
を参照してください "セキュリティ証明書を管理する" を参照してください。
|
StorageGRID では、ロードバランサエンドポイントに使用する証明書は別に管理されます。ロードバランサ証明書を設定するには、を参照してください "ロードバランサエンドポイントを設定する"。 |
カスタムサーバ証明書を使用する場合は、次のガイドラインに従ってください。
-
証明書にはが必要です
subjectAltNameStorageGRID のDNSエントリと同じです。詳細については、のセクション 4.2.1.6 「 Subject Alternative Name 」を参照してください "RFC 5280: PKIX 証明書と CRL プロファイル"。 -
可能であれば、ワイルドカード証明書は使用しないでください。ただし、S3仮想ホスト形式のエンドポイントの証明書は例外です。この証明書では、バケット名が事前にわからない場合にワイルドカードを使用する必要があります。
-
証明書にワイルドカードを使用する必要がある場合は、リスクを軽減するために追加の手順を実行する必要があります。などのワイルドカードパターンを使用します
*.s3.example.com`を使用しないでください `s3.example.comその他のアプリケーションのサフィックス。このパターンは、などのパス形式のS3アクセスでも機能しますdc1-s1.s3.example.com/mybucket。 -
証明書の有効期限を短く( 2 カ月など)設定し、グリッド管理 API を使用して証明書のローテーションを自動化します。これは、ワイルドカード証明書で特に重要です。
また、クライアントは StorageGRID との通信に厳密なホスト名チェックを使用する必要があります。
TLSおよびSSHポリシーに関するセキュリティ強化ガイドライン
セキュリティポリシーを選択して、クライアントアプリケーションとのセキュアなTLS接続の確立や内部StorageGRID サービスへのセキュアなSSH接続に使用するプロトコルと暗号を決定できます。
セキュリティポリシーは、TLSとSSHによる移動中のデータの暗号化方法を制御します。ベストプラクティスとして、アプリケーションの互換性に必要ない暗号化オプションを無効にすることを推奨します。システムが情報セキュリティ国際評価基準に準拠している必要がある場合や、他の暗号を使用する必要がある場合を除き、最新のデフォルトポリシーを使用します。
を参照してください "TLSおよびSSHポリシーを管理します" を参照してください。