S3クライアントノセキユリテイ
変更を提案
PDF
StorageGRIDテナントアカウントは、S3クライアントアプリケーションを使用してオブジェクトデータをStorageGRIDに保存します。クライアントアプリケーションに実装されているセキュリティ対策を確認する必要があります。
概要
S3 REST APIのセキュリティの実装方法を次に示します。
- 接続のセキュリティ
-
TLS
- サーバ認証
-
システム CA によって署名された X.509 サーバ証明書、または管理者から提供されたカスタムサーバ証明書
- クライアント認証
-
S3アカウントのアクセスキーIDとシークレットアクセスキー
- クライアント許可
-
バケットの所有権と適用可能なすべてのアクセス制御ポリシー
StorageGRIDによるクライアントアプリケーションのセキュリティの仕組み
S3クライアントアプリケーションは、ゲートウェイノードまたは管理ノード上のロードバランササービスに接続するか、またはストレージノードに直接接続できます。
-
ロードバランササービスに接続するクライアントでは、ユーザの方法に応じてHTTPSまたはHTTPを使用できます"ロードバランサエンドポイントの設定"。
HTTPSはTLSで暗号化されたセキュアな通信を提供するため、推奨されます。エンドポイントにセキュリティ証明書を添付する必要があります。
HTTPは安全性が低く、暗号化されていない通信を提供するため、非本番環境またはテストグリッドにのみ使用する必要があります。
-
ストレージノードに接続するクライアントは、HTTPSまたはHTTPも使用できます。
デフォルトはHTTPSで、推奨されます。
HTTPは安全性が低く、暗号化されていない通信を提供しますが、非本番環境またはテストグリッドではオプションで使用できます"有効"。
-
StorageGRID とクライアント間の通信は、 TLS を使用して暗号化されます。
-
ロードバランササービスとグリッド内のストレージノードの間の通信は、ロードバランサエンドポイントが HTTP と HTTPS どちらの接続を受け入れるように設定されているかに関係なく暗号化されます。
-
REST API処理を実行するには、クライアントがStorageGRIDにを指定する必要があります"HTTP認証ヘッダー"。
セキュリティ証明書とクライアントアプリケーション
いずれの場合も、クライアントアプリケーションは、グリッド管理者がアップロードしたカスタムサーバ証明書または StorageGRID システムが生成した証明書を使用して、 TLS 接続を確立できます。
-
ロードバランササービスに接続する場合、クライアントアプリケーションはロードバランサエンドポイント用に設定された証明書を使用します。各ロードバランサエンドポイントには独自の証明書があります。グリッド管理者がアップロードしたカスタムサーバ証明書、またはグリッド管理者がエンドポイントの設定時にStorageGRIDで生成した証明書のいずれかです。
を参照して "ロードバランシングに関する考慮事項"
-
クライアントアプリケーションは、ストレージノードに直接接続する場合、StorageGRID システムのインストール時にストレージノード用に生成されたシステム生成のサーバ証明書(システム認証局によって署名されたもの)を使用します。 または、グリッド管理者がグリッド用に提供した単一のカスタムサーバ証明書。を参照して "カスタムのS3 API証明書を追加する"
TLS 接続の確立に使用する証明書に署名した認証局を信頼するよう、クライアントを設定する必要があります。
TLS ライブラリのハッシュアルゴリズムと暗号化アルゴリズムがサポートされます
StorageGRIDシステムでは、クライアントアプリケーションがTLSセッションを確立するときに使用できる一連の暗号スイートがサポートされています。暗号を設定するには、[設定]>*[セキュリティ設定]*に移動し、 TLSおよびSSHポリシー*を選択します。
サポートされる TLS のバージョン
StorageGRID では、 TLS 1.2 と TLS 1.3 がサポートされています。
|
SSLv3 と TLS 1.1 (またはそれ以前のバージョン)はサポートされなくなりました。 |