Skip to main content
How to enable StorageGRID in your environment
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

관리 보안 기능

기여자

StorageGRID의 관리 보안 기능에 대해 알아봅니다.

피처 기능 영향 규정 준수

서버 인증서(그리드 관리 인터페이스)

그리드 관리자는 조직의 신뢰할 수 있는 CA에서 서명한 서버 인증서를 사용하도록 그리드 관리 인터페이스를 구성할 수 있습니다.

신뢰할 수 있는 표준 CA에서 서명한 디지털 인증서를 사용하여 관리 클라이언트와 그리드 간의 관리 UI 및 API 액세스를 인증할 수 있습니다.

 — 

관리 사용자 인증

관리 사용자는 사용자 이름과 암호를 사용하여 인증됩니다. 관리 사용자 및 그룹은 로컬 또는 페더레이션될 수 있으며 고객의 Active Directory 또는 LDAP에서 가져올 수 있습니다. 로컬 계정 암호는 bcrypt로 보호되는 형식으로 저장되고 명령줄 암호는 SHA-2로 보호되는 형식으로 저장됩니다.

관리 UI 및 API에 대한 관리 액세스를 인증합니다.

 — 

SAML 지원

StorageGRID는 SAML 2.0(Security Assertion Markup Language 2.0) 표준을 사용하는 SSO(Single Sign-On)를 지원합니다. SSO가 활성화된 경우 모든 사용자는 Grid Manager, Tenant Manager, Grid Management API 또는 Tenant Management API에 액세스하기 전에 외부 ID 공급자에 의해 인증되어야 합니다. 로컬 사용자는 StorageGRID에 로그인할 수 없습니다.

SSO 및 다단계 인증(MFA)과 같은 그리드 및 테넌트 관리자를 위한 추가 보안 수준 지원

NIST SP800-63 를 참조하십시오

세분화된 권한 제어

그리드 관리자는 역할에 권한을 할당하고 관리 사용자 그룹에 역할을 할당할 수 있습니다. 그러면 관리 UI와 API를 모두 사용하여 관리 클라이언트가 수행할 수 있는 작업이 적용됩니다.

그리드 관리자가 관리자 및 그룹에 대한 액세스 제어를 관리할 수 있습니다.

 — 

분산 감사 로깅

StorageGRID는 최대 16개 사이트에서 수백 개의 노드로 확장할 수 있는 분산형 감사 로깅 인프라를 내장하고 있습니다. StorageGRID 소프트웨어 노드는 중복 감사 릴레이 시스템을 통해 전송되어 하나 이상의 감사 로그 저장소에 캡처되는 감사 메시지를 생성합니다. 감사 메시지는 클라이언트 실행형 S3 API 작업, ILM을 통한 오브젝트 라이프사이클 이벤트, 백그라운드 오브젝트 상태 점검, 관리 UI 또는 API를 통한 구성 변경 등과 같이 오브젝트 레벨에서 세분화된 이벤트를 캡처합니다.

감사 로그를 CIFS 또는 NFS를 통해 관리 노드에서 내보낼 수 있으므로 Splunk 및 elk와 같은 툴을 통해 감사 메시지를 마이닝할 수 있습니다. 감사 메시지에는 네 가지 유형이 있습니다.

  • 시스템 감사 메시지

  • 오브젝트 스토리지 감사 메시지

  • HTTP 프로토콜 감사 메시지

  • 관리 감사 메시지

그리드 관리자는 검증되고 확장 가능한 감사 서비스를 제공하며 다양한 목표에 대한 감사 데이터를 마이닝할 수 있습니다. 이러한 목표에는 문제 해결, SLA 성능 감사, 클라이언트 데이터 액세스 API 작업, 관리 구성 변경 등이 포함됩니다.

 — 

시스템 감사

시스템 감사 메시지는 그리드 노드 상태, 손상된 개체 감지, ILM 규칙에 따라 지정된 모든 위치에 커밋된 개체, 시스템 차원의 유지 관리 작업(그리드 작업)의 진행률과 같은 시스템 관련 이벤트를 캡처합니다.

고객이 시스템 문제를 해결하도록 지원하고 SLA에 따라 개체가 저장된다는 증거를 제공합니다. SLA는 StorageGRID ILM 규칙을 통해 구현되며 무결성이 보호됩니다.

 — 

오브젝트 스토리지 감사

오브젝트 스토리지 감사 메시지는 오브젝트 API 트랜잭션 및 라이프사이클 관련 이벤트를 캡처합니다. 이러한 이벤트에는 오브젝트 스토리지 및 검색, 그리드 노드에서 그리드 노드로 전송 및 검증이 포함됩니다.

고객이 시스템을 통해 데이터의 진행 상황과 StorageGRID ILM으로 지정된 SLA 제공 여부를 감사하는 데 도움이 됩니다.

 — 

HTTP 프로토콜 감사

HTTP 프로토콜 감사 메시지는 클라이언트 응용 프로그램 및 StorageGRID 노드와 관련된 HTTP 프로토콜 상호 작용을 캡처합니다. 또한 고객은 특정 HTTP 요청 헤더(예: X-Forwarded-For 및 사용자 메타데이터[x-amz-meta- *])를 감사에 캡처할 수 있습니다.

고객이 클라이언트와 StorageGRID 간의 데이터 액세스 API 작업을 감사하고 개별 사용자 계정 및 액세스 키에 대한 작업을 추적할 수 있도록 도와줍니다. 또한 고객은 사용자 메타데이터를 감사에 로그인하고 Splunk 또는 elk와 같은 로그 마이닝 툴을 사용하여 오브젝트 메타데이터를 검색할 수 있습니다.

 — 

관리 감사

관리 감사 메시지는 관리 UI(그리드 관리 인터페이스) 또는 API에 관리자 사용자 요청을 기록합니다. API에 대한 GET 또는 HEAD 요청이 아닌 모든 요청은 API에 대한 사용자 이름, IP 및 요청 유형을 사용하여 응답을 기록합니다.

그리드 관리자가 소스 IP와 대상 IP를 어느 시점에 어느 사용자가 변경했는지에 대한 시스템 구성 변경 기록을 설정할 수 있도록 도와줍니다.

 — 

관리 UI 및 API 액세스를 위한 TLS 1.3 지원

TLS는 관리 클라이언트와 StorageGRID 관리 노드 간의 통신을 위한 핸드셰이크 프로토콜을 설정합니다.

관리 클라이언트와 StorageGRID가 서로 식별 및 인증하고 기밀성 및 데이터 무결성을 유지할 수 있도록 합니다.

 — 

StorageGRID 모니터링용 SNMPv3

SNMPv3는 개인 정보 보호를 위해 강력한 인증 및 데이터 암호화를 제공하여 보안을 제공합니다. v3에서는 암호화 프로토콜에 CBC-DES를 사용하여 프로토콜 데이터 유닛이 암호화됩니다.

프로토콜 데이터 단위를 보낸 사람의 사용자 인증은 HMAC-SHA 또는 HMAC-MD5 인증 프로토콜을 통해 제공됩니다.

SNMPv2 및 v1은 계속 지원됩니다.

그리드 관리자가 관리자 노드에서 SNMP 에이전트를 활성화하여 StorageGRID 시스템을 모니터링할 수 있도록 합니다.

 — 

Prometheus 메트릭스 내보내기용 클라이언트 인증서

그리드 관리자는 StorageGRID Prometheus 데이터베이스에 대한 안전하고 인증된 액세스를 제공하는 데 사용할 수 있는 클라이언트 인증서를 업로드하거나 생성할 수 있습니다.

그리드 관리자는 클라이언트 인증서를 사용하여 Grafana와 같은 애플리케이션을 사용하여 외부에서 StorageGRID를 모니터링할 수 있습니다.

 —