TLSとSSHに関するセキュリティ強化ガイドライン
変更を提案
PDF
SSH アクセスを制御し、デフォルトの TLS 証明書を置き換え、TLS および SSH 接続に適切なセキュリティ ポリシーを選択する必要があります。
証明書に関するセキュリティ強化ガイドライン
インストール時に作成されたデフォルトの証明書を独自のカスタム証明書に置き換える必要があります。
多くの組織では、 StorageGRID Web アクセス用の自己署名デジタル証明書が、情報セキュリティポリシーに準拠していません。本番用システムでは、 StorageGRID の認証に使用する CA 署名デジタル証明書をインストールする必要があります。
具体的には、次のデフォルト証明書ではなくカスタムサーバ証明書を使用する必要があります。
-
* 管理インターフェイス証明書 * : Grid Manager 、 Tenant Manager 、 Grid 管理 API 、およびテナント管理 API へのアクセスを保護するために使用します。
-
* S3 API証明書*:ストレージノードとゲートウェイノードへのアクセスを保護するために使用します。これらのノードは、S3クライアントアプリケーションがオブジェクトデータをアップロードおよびダウンロードするために使用します。
詳細と手順については、を参照してください"セキュリティ証明書を管理する"。
|
StorageGRID では、ロードバランサエンドポイントに使用する証明書は別に管理されます。ロードバランサ証明書を設定するには、を参照してください"ロードバランサエンドポイントを設定する"。 |
カスタムサーバ証明書を使用する場合は、次のガイドラインに従ってください。
-
証明書には、StorageGRIDのDNSエントリと一致するが必要です
subjectAltName。詳細については、のセクション4.2.1.6「サブジェクトの別名」を参照してください "RFC 5280: PKIX 証明書と CRL プロファイル"。 -
可能であれば、ワイルドカード証明書は使用しないでください。ただし、S3仮想ホスト形式のエンドポイントの証明書は例外です。この証明書では、バケット名が事前にわからない場合にワイルドカードを使用する必要があります。
-
証明書にワイルドカードを使用する必要がある場合は、リスクを軽減するために追加の手順を実行する必要があります。などのワイルドカードパターンを使用し、他のアプリケーションにはサフィックスを使用し
*.s3.example.com`ない `s3.example.com`でください。このパターンは、などのパス形式のS3アクセスでも機能します `dc1-s1.s3.example.com/mybucket。 -
証明書の有効期限を短く( 2 カ月など)設定し、グリッド管理 API を使用して証明書のローテーションを自動化します。これは、ワイルドカード証明書で特に重要です。
また、クライアントは StorageGRID との通信に厳密なホスト名チェックを使用する必要があります。
TLSおよびSSHポリシーに関するセキュリティ強化ガイドライン
セキュリティポリシーを選択して、クライアントアプリケーションとのセキュアなTLS接続の確立や内部StorageGRID サービスへのセキュアなSSH接続に使用するプロトコルと暗号を決定できます。
セキュリティ ポリシーは、TLS と SSH が移動中のデータを暗号化する方法を制御します。ベストプラクティスとして、アプリケーションの互換性に必要のない暗号化オプションを無効にする必要があります。システムが Common Criteria 準拠、FIPS 140-2 準拠である必要がある場合、または他の暗号を使用する必要がない限り、デフォルトのモダン ポリシーを使用します。
詳細と手順については、を参照してください"TLSおよびSSHポリシーを管理します"。
外部SSHアクセスを管理する
システム セキュリティを強化するために、外部からの SSH アクセスはデフォルトでブロックされます。トラブルシューティングなど、着信 SSH アクセスを必要とするタスクを実行する必要がある場合のみ、SSH アクセスを有効にします。参照"外部SSHアクセスを管理する"詳細と手順についてはこちらをご覧ください。