신뢰할 수 없는 클라이언트 네트워크 관리
변경 제안
PDF
클라이언트 네트워크를 사용하는 경우 명시적으로 구성된 끝점에서만 인바운드 클라이언트 트래픽을 허용하여 악의적인 공격으로부터 StorageGRID를 보호할 수 있습니다.
기본적으로 각 그리드 노드의 클라이언트 네트워크는 _ trusted _ 입니다. 즉, 기본적으로 StorageGRID는 사용 가능한 모든 외부 포트의 각 그리드 노드에 대한 인바운드 연결을 신뢰합니다(네트워크 지침의 외부 통신 정보 참조).
각 노드의 클라이언트 네트워크가 _untrusted_로 지정함으로써 StorageGRID 시스템에 대한 악의적인 공격의 위협을 줄일 수 있습니다. 노드의 클라이언트 네트워크를 신뢰할 수 없는 경우 노드는 로드 밸런서 끝점으로 명시적으로 구성된 포트의 인바운드 연결만 허용합니다.
예 1: 게이트웨이 노드는 HTTPS S3 요청만 허용합니다
게이트웨이 노드가 HTTPS S3 요청을 제외한 클라이언트 네트워크의 모든 인바운드 트래픽을 거부하도록 한다고 가정합니다. 다음과 같은 일반 단계를 수행합니다.
-
로드 밸런서 엔드포인트 페이지에서 포트 443에서 HTTPS를 통해 S3에 대한 로드 밸런서 끝점을 구성합니다.
-
신뢰할 수 없는 클라이언트 네트워크 페이지에서 게이트웨이 노드의 클라이언트 네트워크를 신뢰할 수 없도록 지정합니다.
구성을 저장한 후 게이트웨이 노드의 클라이언트 네트워크의 모든 인바운드 트래픽은 포트 443 및 ICMP 에코(ping) 요청의 HTTPS S3 요청을 제외하고 삭제됩니다.
예 2: 스토리지 노드가 S3 플랫폼 서비스 요청을 전송합니다
스토리지 노드에서 아웃바운드 S3 플랫폼 서비스 트래픽을 활성화하되 클라이언트 네트워크의 해당 스토리지 노드에 대한 인바운드 연결을 차단하려는 경우를 가정해 봅니다. 이 일반 단계를 수행합니다.
-
신뢰할 수 없는 클라이언트 네트워크 페이지에서 스토리지 노드의 클라이언트 네트워크를 신뢰할 수 없음을 나타냅니다.
구성을 저장한 후 스토리지 노드는 더 이상 클라이언트 네트워크에서 들어오는 트래픽을 허용하지 않지만 Amazon Web Services에 대한 아웃바운드 요청은 계속 허용합니다.