S3 クライアントのセキュリティ
変更を提案
PDF
StorageGRIDテナント アカウントは、S3 クライアント アプリケーションを使用してオブジェクト データをStorageGRIDに保存します。クライアント アプリケーションに実装されているセキュリティ対策を確認する必要があります。
まとめ
次のリストは、S3 REST API のセキュリティの実装方法をまとめたものです。
- 接続セキュリティ
-
TLS
- サーバー認証
-
システム CA によって署名された X.509 サーバー証明書または管理者によって提供されたカスタム サーバー証明書
- クライアント認証
-
S3 アカウントのアクセスキー ID とシークレットアクセスキー
- クライアント許可
-
バケットの所有権と適用可能なすべてのアクセス制御ポリシー
StorageGRIDがクライアントアプリケーションにセキュリティを提供する仕組み
S3 クライアント アプリケーションは、ゲートウェイ ノードまたは管理ノード上のロード バランサ サービスに接続するか、ストレージ ノードに直接接続できます。
-
ロードバランサーサービスに接続するクライアントは、接続方法に応じてHTTPSまたはHTTPを使用できます。"ロードバランサのエンドポイントを構成する" 。
HTTPS は安全な TLS 暗号化通信を提供するため、推奨されます。エンドポイントにセキュリティ証明書を添付する必要があります。
HTTP は安全性が低く、暗号化されていない通信を提供するため、非本番環境またはテスト グリッドにのみ使用する必要があります。
-
ストレージ ノードに接続するクライアントは、HTTPS または HTTP も使用できます。
HTTPS がデフォルトであり、推奨されます。
HTTPは安全性が低く、暗号化されていない通信を提供しますが、オプションで"有効"非本番環境またはテスト グリッド用。
-
StorageGRIDとクライアント間の通信は TLS を使用して暗号化されます。
-
ロード バランサ エンドポイントが HTTP 接続または HTTPS 接続を受け入れるように構成されているかどうかに関係なく、グリッド内のロード バランサ サービスとストレージ ノード間の通信は暗号化されます。
-
クライアントは以下を提供する必要があります"HTTP認証ヘッダー"REST API 操作を実行するためにStorageGRIDを使用します。
セキュリティ証明書とクライアントアプリケーション
いずれの場合も、クライアント アプリケーションは、グリッド管理者がアップロードしたカスタム サーバー証明書またはStorageGRIDシステムによって生成された証明書を使用して TLS 接続を行うことができます。
-
クライアント アプリケーションが Load Balancer サービスに接続すると、ロード バランサー エンドポイント用に構成された証明書が使用されます。各ロード バランサ エンドポイントには独自の証明書(グリッド管理者がアップロードしたカスタム サーバ証明書、またはエンドポイントの構成時にグリッド管理者がStorageGRIDで生成した証明書)があります。
見る"負荷分散に関する考慮事項" 。
-
クライアント アプリケーションがストレージ ノードに直接接続する場合、 StorageGRIDシステムのインストール時にストレージ ノード用に生成されたシステム生成サーバ証明書 (システム証明機関によって署名されている)、またはグリッド管理者によってグリッド用に提供される単一のカスタム サーバ証明書のいずれかを使用します。見る"カスタムS3 API証明書を追加する" 。
クライアントは、TLS 接続を確立するために使用する証明書に署名した証明機関を信頼するように構成する必要があります。
TLSライブラリでサポートされているハッシュおよび暗号化アルゴリズム
StorageGRIDシステムは、クライアント アプリケーションが TLS セッションを確立するときに使用できる暗号スイートのセットをサポートしています。暗号を構成するには、構成 > セキュリティ > セキュリティ設定 に移動し、TLS および SSH ポリシー を選択します。
サポートされているTLSのバージョン
StorageGRID はTLS 1.2 と TLS 1.3 をサポートしています。
|
SSLv3 および TLS 1.1 (またはそれ以前のバージョン) はサポートされなくなりました。 |