TLSとSSHの強化ガイドライン
変更を提案
PDF
インストール中に作成されたデフォルトの証明書を置き換え、TLS および SSH 接続に適切なセキュリティ ポリシーを選択する必要があります。
証明書の強化ガイドライン
インストール中に作成されたデフォルトの証明書を、独自のカスタム証明書に置き換える必要があります。
多くの組織では、 StorageGRID Web アクセス用の自己署名デジタル証明書が情報セキュリティ ポリシーに準拠していません。実稼働システムでは、 StorageGRID の認証に使用する CA 署名付きデジタル証明書をインストールする必要があります。
具体的には、次のデフォルト証明書の代わりにカスタム サーバー証明書を使用する必要があります。
-
管理インターフェイス証明書: グリッド マネージャー、テナント マネージャー、グリッド管理 API、およびテナント管理 API へのアクセスを保護するために使用されます。
-
S3 API 証明書: S3 クライアント アプリケーションがオブジェクト データをアップロードおよびダウンロードするために使用するストレージ ノードとゲートウェイ ノードへのアクセスを保護するために使用されます。
見る"セキュリティ証明書を管理する"詳細と手順についてはこちらをご覧ください。
|
StorageGRID は、ロード バランサのエンドポイントに使用される証明書を個別に管理します。ロードバランサ証明書を構成するには、"ロードバランサのエンドポイントを構成する" 。 |
カスタム サーバー証明書を使用する場合は、次のガイドラインに従ってください。
-
証明書には `subjectAltName`StorageGRIDの DNS エントリに一致します。詳細については、セクション4.2.1.6「サブジェクト代替名」を参照してください。 "RFC 5280: PKIX証明書とCRLプロファイル" 。
-
可能な場合は、ワイルドカード証明書の使用は避けてください。このガイドラインの例外は、S3 仮想ホスト スタイルのエンドポイントの証明書です。バケット名が事前にわかっていない場合、ワイルドカードを使用する必要があります。
-
証明書でワイルドカードを使用する必要がある場合は、リスクを軽減するために追加の手順を実行する必要があります。ワイルドカードパターンを使用する例:
*.s3.example.com、そして、s3.example.com`他のアプリケーション用のサフィックス。このパターンは、次のようなパススタイルのS3アクセスでも機能します。 `dc1-s1.s3.example.com/mybucket。 -
証明書の有効期限を短く(たとえば 2 か月)設定し、グリッド管理 API を使用して証明書のローテーションを自動化します。これはワイルドカード証明書の場合に特に重要です。
さらに、クライアントはStorageGRIDと通信するときに厳密なホスト名チェックを使用する必要があります。
TLS および SSH ポリシーの強化ガイドライン
セキュリティ ポリシーを選択して、クライアント アプリケーションとの安全な TLS 接続と内部StorageGRIDサービスへの安全な SSH 接続を確立するために使用されるプロトコルと暗号を決定できます。
セキュリティ ポリシーは、TLS と SSH が移動中のデータを暗号化する方法を制御します。ベストプラクティスとして、アプリケーションの互換性に必要のない暗号化オプションを無効にする必要があります。システムが Common Criteria に準拠している必要がある場合、または他の暗号を使用する必要がない限り、デフォルトのモダン ポリシーを使用します。
見る"TLSおよびSSHポリシーを管理する"詳細と手順についてはこちらをご覧ください。