S3 클라이언트 보안
변경 제안
PDF
StorageGRID 테넌트 계정은 S3 클라이언트 애플리케이션을 사용하여 개체 데이터를 StorageGRID 에 저장합니다. 클라이언트 애플리케이션에 구현된 보안 조치를 검토해야 합니다.
요약
다음 목록은 S3 REST API에 대한 보안이 구현되는 방식을 요약한 것입니다.
- 연결 보안
-
티엘에스
- 서버 인증
-
시스템 CA가 서명한 X.509 서버 인증서 또는 관리자가 제공한 사용자 지정 서버 인증서
- 클라이언트 인증
-
S3 계정 액세스 키 ID 및 비밀 액세스 키
- 클라이언트 승인
-
버킷 소유권 및 모든 해당 액세스 제어 정책
StorageGRID 클라이언트 애플리케이션에 보안을 제공하는 방식
S3 클라이언트 애플리케이션은 게이트웨이 노드나 관리 노드의 로드 밸런서 서비스에 연결하거나 스토리지 노드에 직접 연결할 수 있습니다.
-
로드 밸런서 서비스에 연결하는 클라이언트는 HTTPS 또는 HTTP를 사용할 수 있습니다."로드 밸런서 엔드포인트 구성" .
HTTPS는 안전하고 TLS 암호화된 통신을 제공하므로 권장됩니다. 엔드포인트에 보안 인증서를 첨부해야 합니다.
HTTP는 보안성이 낮고 암호화되지 않은 통신을 제공하므로 비생산 또는 테스트 그리드에만 사용해야 합니다.
-
스토리지 노드에 연결하는 클라이언트는 HTTPS 또는 HTTP를 사용할 수도 있습니다.
HTTPS가 기본값이며 권장됩니다.
HTTP는 보안성이 낮고 암호화되지 않은 통신을 제공하지만 선택적으로 사용할 수 있습니다."활성화됨" 비생산 또는 테스트 그리드용.
-
StorageGRID 와 클라이언트 간의 통신은 TLS를 사용하여 암호화됩니다.
-
그리드 내의 로드 밸런서 서비스와 스토리지 노드 간 통신은 로드 밸런서 엔드포인트가 HTTP 또는 HTTPS 연결을 허용하도록 구성되어 있는지 여부에 관계없이 암호화됩니다.
-
고객은 다음을 제공해야 합니다."HTTP 인증 헤더" REST API 작업을 수행하기 위해 StorageGRID 에 연결합니다.
보안 인증서 및 클라이언트 애플리케이션
모든 경우에 클라이언트 애플리케이션은 그리드 관리자가 업로드한 사용자 지정 서버 인증서나 StorageGRID 시스템에서 생성한 인증서를 사용하여 TLS 연결을 만들 수 있습니다.
-
클라이언트 애플리케이션이 로드 밸런서 서비스에 연결하면 로드 밸런서 엔드포인트에 대해 구성된 인증서를 사용합니다. 각 로드 밸런서 엔드포인트에는 자체 인증서가 있습니다. 즉, 그리드 관리자가 업로드한 사용자 지정 서버 인증서이거나 그리드 관리자가 엔드포인트를 구성할 때 StorageGRID 에서 생성한 인증서입니다.
보다 "부하 분산을 위한 고려 사항" .
-
클라이언트 애플리케이션이 스토리지 노드에 직접 연결하는 경우, StorageGRID 시스템이 설치될 때 스토리지 노드에 대해 생성된 시스템 생성 서버 인증서(시스템 인증 기관에서 서명)를 사용하거나 그리드 관리자가 그리드에 제공한 단일 사용자 지정 서버 인증서를 사용합니다. 보다 "사용자 정의 S3 API 인증서 추가" .
클라이언트는 TLS 연결을 설정하는 데 사용하는 인증서에 서명한 인증 기관을 신뢰하도록 구성해야 합니다.
TLS 라이브러리에 지원되는 해싱 및 암호화 알고리즘
StorageGRID 시스템은 클라이언트 애플리케이션이 TLS 세션을 설정할 때 사용할 수 있는 일련의 암호 그룹을 지원합니다. 암호를 구성하려면 구성 > 보안 > *보안 설정*으로 이동하여 *TLS 및 SSH 정책*을 선택하세요.
지원되는 TLS 버전
StorageGRID TLS 1.2 및 TLS 1.3을 지원합니다.
|
SSLv3 및 TLS 1.1(또는 이전 버전)은 더 이상 지원되지 않습니다. |