TLS 및 SSH에 대한 강화 지침
변경 제안
PDF
설치 중에 생성된 기본 인증서를 교체하고 TLS 및 SSH 연결에 적합한 보안 정책을 선택해야 합니다.
인증서 강화 지침
설치 중에 생성된 기본 인증서를 사용자 정의 인증서로 바꿔야 합니다.
많은 조직에서 StorageGRID 웹 액세스를 위한 자체 서명 디지털 인증서는 해당 조직의 정보 보안 정책을 준수하지 않습니다. 프로덕션 시스템에서는 StorageGRID 인증에 사용할 CA 서명 디지털 인증서를 설치해야 합니다.
특히, 기본 인증서 대신 사용자 지정 서버 인증서를 사용해야 합니다.
-
관리 인터페이스 인증서: Grid Manager, Tenant Manager, Grid Management API 및 Tenant Management API에 대한 액세스를 보호하는 데 사용됩니다.
-
S3 API 인증서: S3 클라이언트 애플리케이션이 객체 데이터를 업로드 및 다운로드하는 데 사용하는 스토리지 노드와 게이트웨이 노드에 대한 액세스를 보호하는 데 사용됩니다.
보다"보안 인증서 관리" 자세한 내용과 지침은 여기를 참조하세요.
|
StorageGRID 로드 밸런서 엔드포인트에 사용되는 인증서를 별도로 관리합니다. 로드 밸런서 인증서를 구성하려면 다음을 참조하세요."로드 밸런서 엔드포인트 구성" . |
사용자 지정 서버 인증서를 사용할 때는 다음 지침을 따르세요.
-
인증서에는 다음이 있어야 합니다.
subjectAltNameStorageGRID 에 대한 DNS 항목과 일치합니다. 자세한 내용은 섹션 4.2.1.6, "주체 대체 이름"을 참조하세요. "RFC 5280: PKIX 인증서 및 CRL 프로필" . -
가능하다면 와일드카드 인증서 사용을 피하세요. 이 지침의 예외는 S3 가상 호스팅 스타일 엔드포인트에 대한 인증서로, 버킷 이름을 미리 알 수 없는 경우 와일드카드를 사용해야 합니다.
-
인증서에서 와일드카드를 사용해야 하는 경우 위험을 줄이기 위해 추가 조치를 취해야 합니다. 다음과 같은 와일드카드 패턴을 사용하세요.
*.s3.example.com, 그리고 사용하지 마세요s3.example.com다른 응용 프로그램을 위한 접미사. 이 패턴은 다음과 같은 경로 스타일 S3 액세스에도 작동합니다.dc1-s1.s3.example.com/mybucket. -
인증서 만료 시간을 짧게(예: 2개월) 설정하고 Grid Management API를 사용하여 인증서 순환을 자동화합니다. 이는 특히 와일드카드 인증서에 중요합니다.
또한 클라이언트는 StorageGRID 와 통신할 때 엄격한 호스트 이름 검사를 사용해야 합니다.
TLS 및 SSH 정책에 대한 강화 지침
보안 정책을 선택하여 클라이언트 애플리케이션과의 보안 TLS 연결 및 내부 StorageGRID 서비스에 대한 보안 SSH 연결을 설정하는 데 사용되는 프로토콜과 암호를 결정할 수 있습니다.
보안 정책은 TLS와 SSH가 전송 중인 데이터를 암호화하는 방식을 제어합니다. 가장 좋은 방법은 애플리케이션 호환성에 필요하지 않은 암호화 옵션을 비활성화하는 것입니다. 시스템이 Common Criteria를 준수해야 하거나 다른 암호를 사용해야 하는 경우가 아니면 기본 Modern 정책을 사용하세요.
보다"TLS 및 SSH 정책 관리" 자세한 내용과 지침은 여기를 참조하세요.