Skip to main content
How to enable StorageGRID in your environment
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

データアクセスセキュリティ機能

共同作成者
PDF

StorageGRIDのデータアクセスセキュリティ機能について説明します。

機能 機能 影響 コンプライアンス

設定可能なTransport Layer Security(TLS)

TLSは、クライアントとStorageGRIDゲートウェイノード、ストレージノード、またはロードバランサエンドポイント間の通信用にハンドシェイクプロトコルを確立します。

StorageGRIDでは、TLSで次の暗号スイートがサポートされています。

  • TLS_AES_256_GCM_SHA384

  • TLS_AES_128_GCM _SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • TLS_AES_256_GCM_SHA384

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES256-GCM-SHA384

  • AES256-GCM-SHA384

  • AES128-GCM-SHA256

  • TLS_CHACHA20_POLY1305_SHA256

  • ECDHE-ECDSA-CHACHA20-POLY1305

  • ECDHE-RSA-CHACHA20-POLY1305

TLS v1.2および1.3をサポート。

SSLv3、TLS v1.1以前はサポートされなくなりました。

クライアントとStorageGRIDがお互いを識別して認証し、機密性とデータ整合性を維持して通信できるようにします。最新のTLSバージョンを確実に使用します。[設定/セキュリティ]設定で暗号を設定できるようになりました。

 — 

設定可能なサーバ証明書(ロードバランサエンドポイント)

グリッド管理者は、サーバ証明書を生成または使用するようにロードバランサエンドポイントを設定できます。

標準の信頼された認証局(CA)によって署名されたデジタル証明書を使用して、ロードバランサエンドポイントごとにグリッドとクライアント間のオブジェクトAPI処理を認証できるようにします。

 — 

設定可能なサーバ証明書(APIエンドポイント)

グリッド管理者は、組織の信頼されたCAによって署名されたサーバ証明書を使用するように、すべてのStorageGRID APIエンドポイントを一元的に設定できます。

標準の信頼されたCAによって署名されたデジタル証明書を使用して、クライアントとグリッドの間のオブジェクトAPI処理を認証できます。

 — 

マルチテナンシー

StorageGRIDでは、グリッドごとに複数のテナントがサポートされ、各テナントに独自のネームスペースがあります。テナントはS3プロトコルを提供します。デフォルトでは、バケット/コンテナおよびオブジェクトへのアクセスはアカウント内のユーザに制限されます。テナントには、1人のユーザ(各ユーザが独自のアカウントを持つエンタープライズ環境など)または複数のユーザ(サービスプロバイダ環境など、各アカウントがサービスプロバイダの企業および顧客であるサービスプロバイダ環境など)を設定できます。ユーザはローカルまたはフェデレーテッドにすることができます。フェデレーテッドユーザは、Active DirectoryまたはLightweight Directory Access Protocol(LDAP)によって定義されます。StorageGRIDには、ユーザがローカルまたはフェデレーテッドアカウントのクレデンシャルを使用してログインするテナントごとのダッシュボードが用意されています。ユーザは、バケットに格納されているデータ内の使用状況やオブジェクトの使用状況など、グリッド管理者によって割り当てられたクォータに対するテナント使用状況に関する可視化されたレポートにアクセスできます。管理権限を持つユーザは、ユーザ、グループ、アクセスキーの管理など、テナントレベルのシステム管理タスクを実行できます。

StorageGRID管理者は、テナントアクセスを分離しながら複数のテナントのデータをホストできます。また、Active DirectoryやLDAPなどの外部のアイデンティティプロバイダとユーザをフェデレーションすることでユーザIDを確立できます。

SECルール17a-4(f)CTFC 1.31(c)-(d)(FINRA)ルール4511(c)

アクセスクレデンシャルの否認防止

すべてのS3処理は、一意のテナントアカウント、ユーザ、およびアクセスキーで識別され、ログに記録されます。

Grid管理者は、どのAPIアクションをどのユーザが実行するかを設定できます。

 — 

匿名アクセスの無効化

デフォルトでは、S3アカウントに対して匿名アクセスは無効になっています。テナントアカウント内のバケット、コンテナ、またはオブジェクトにアクセスするには、要求者がテナントアカウント内の有効なユーザの有効なアクセスクレデンシャルを持っている必要があります。明示的なIAMポリシーを使用して、S3バケットまたはオブジェクトへの匿名アクセスを有効にできます。

グリッド管理者がバケット/コンテナおよびオブジェクトへの匿名アクセスを無効化または制御できるようにします。

 — 

コンプライアンスWORM

SEC Rule 17a-4(f)の要件を満たすように設計され、Cohassetによって検証されています。バケットレベルでの準拠を有効にできます。保持期間は延長できますが、短縮することはできません。 情報ライフサイクル管理(ILM)ルールでは、最小限のデータ保護レベルが適用されます。

規制上のデータ保持要件があるテナントで、格納オブジェクトとオブジェクトメタデータのWORM保護を実現できます。

SECルール17a-4(f)CTFC 1.31(c)-(d)(FINRA)ルール4511(c)

WORM

グリッド管理者は、[Disable Client Modify]オプションを有効にすることで、グリッド全体のWORMを有効にできます。これにより、クライアントがすべてのテナントアカウントのオブジェクトまたはオブジェクトメタデータを上書きまたは削除できなくなります。

S3テナント管理者は、IAMポリシーを指定して、テナント、バケット、またはオブジェクトプレフィックスでWORMを有効にすることもできます。このポリシーには、オブジェクトおよびメタデータの上書きに関するカスタムのS3:PutOverwriteObject権限が含まれています。

グリッド管理者とテナント管理者は、格納オブジェクトとオブジェクトメタデータに対するWORM保護を制御できます。

SECルール17a-4(f)CTFC 1.31(c)-(d)(FINRA)ルール4511(c)

KMSホストサーバ暗号化キー管理

グリッド管理者は、Grid Managerで1つ以上の外部キー管理サーバ(KMS)を設定して、StorageGRIDサービスとストレージアプライアンスに暗号化キーを提供できます。各KMSホストサーバまたはKMSホストサーバクラスタは、Key Management Interoperability Protocol(KMIP)を使用して、関連付けられたStorageGRIDサイトのアプライアンスノードに暗号化キーを提供します。

保存データの暗号化が実現されます。アプライアンスボリュームが暗号化されると、ノードがKMSホストサーバと通信できる場合を除き、アプライアンス上のデータにアクセスすることはできません。

SECルール17a-4(f)CTFC 1.31(c)-(d)(FINRA)ルール4511(c)

自動フェイルオーバー

StorageGRIDは、あらかじめ組み込まれた冗長性と自動フェイルオーバー機能を提供します。ディスクまたはノードからサイト全体に至るまで、複数の障害が発生しても、テナントアカウント、バケット、オブジェクトへのアクセスを継続できます。StorageGRIDはリソースを認識し、使用可能なノードとデータの場所に要求を自動的にリダイレクトします。StorageGRIDサイトは、孤立モードでも動作できます。WANが停止してサイトがシステムの残りの部分から切断された場合、ローカルリソースで読み取りと書き込みを続行でき、WANがリストアされるとレプリケーションが自動的に再開されます。

グリッド管理者は、アップタイムやSLAなどの契約上の義務に対処し、ビジネス継続性計画を実装できます。

 — 

  • S3固有のデータアクセスセキュリティ機能*

AWS署名バージョン2およびバージョン4

API要求の署名は、S3 API処理の認証を提供します。AmazonはSignature Version 2とVersion 4の2つのバージョンをサポートしている。署名プロセスは、要求者の身元を確認し、転送中のデータを保護し、潜在的なリプレイ攻撃から保護します。

シグネチャバージョン4に関するAWSの推奨事項に準拠し、シグネチャバージョン2を使用する古いアプリケーションとの下位互換性を有効にします。

 — 

S3 オブジェクトのロック

StorageGRIDのS3オブジェクトロック機能は、Amazon S3のS3オブジェクトロックに相当するオブジェクト保護ソリューションです。

テナントは、特定のオブジェクトを一定期間または無期限に保持することを求める規制に準拠するために、S3オブジェクトロックを有効にしたバケットを作成できます。

SECルール17a-4(f)CTFC 1.31(c)-(d)(FINRA)ルール4511(c)

S3クレデンシャルのセキュアなストレージ

S3アクセスキーは、パスワードハッシュ関数(SHA-2)で保護された形式で格納されます。

キーの長さ(1031ランダムに生成された数字)とパスワードハッシュアルゴリズムを組み合わせて、アクセスキーのセキュアな格納をイネーブルにします。

 — 

タイムバウンドのS3アクセスキー

ユーザのS3アクセスキーを作成するときに、アクセスキーに有効期限の日時を設定できます。

グリッド管理者は、一時的なS3アクセスキーをプロビジョニングできます。

 — 

ユーザアカウントごとに複数のアクセスキー

StorageGRIDを使用すると、1つのユーザアカウントに対して複数のアクセスキーを作成し、同時にアクティブにすることができます。各APIアクションはテナントユーザアカウントとアクセスキーを使用してログに記録されるため、複数のキーがアクティブであっても拒否されません。

クライアントがアクセスキーを無停止でローテーションできるようにします。また、各クライアントに独自のキーを割り当てることができるため、クライアント間でのキー共有が不要になります。

 — 

S3 IAMアクセスポリシー

StorageGRIDはS3 IAMポリシーをサポートしているため、グリッド管理者はテナント、バケット、またはオブジェクトプレフィックスごとに詳細なアクセス制御を指定できます。StorageGRIDでは、IAMポリシーの条件と変数もサポートしているため、より動的なアクセス制御ポリシーを使用できます。

グリッド管理者がテナント全体に対してユーザグループ別にアクセス制御を指定できるようにします。また、テナントユーザが自身のバケットとオブジェクトに対してアクセス制御を指定できるようにします。

 — 

StorageGRIDで管理されるキー(SSE)によるサーバ側の暗号化

StorageGRIDはSSEをサポートしているため、StorageGRIDで管理される暗号化キーを使用して保管データをマルチテナントで保護できます。

テナントでオブジェクトを暗号化できます。これらのオブジェクトの書き込みと読み出しには暗号化キーが必要です。

SECルール17a-4(f)CTFC 1.31(c)-(d)(FINRA)ルール4511(c)

ユーザ指定の暗号化キーによるサーバ側の暗号化(SSE-C)

StorageGRIDはSSE-Cをサポートしており、クライアントが管理する暗号化キーを使用して保管データをマルチテナントで保護できます。

StorageGRIDはすべてのオブジェクトの暗号化および復号化処理を管理しますが、SSE-Cを使用する場合、クライアントは暗号化キーを自身で管理する必要があります。

クライアントが制御するキーを使用してオブジェクトを暗号化できます。これらのオブジェクトの書き込みと読み出しには暗号化キーが必要です。