Skip to main content
How to enable StorageGRID in your environment
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

데이터 액세스 보안 기능

기여자

StorageGRID의 데이터 액세스 보안 기능에 대해 알아보십시오.

피처 기능 영향 규정 준수

구성 가능한 TLS(Transport Layer Security)

TLS는 클라이언트와 StorageGRID 게이트웨이 노드, 스토리지 노드 또는 로드 밸런서 끝점 간의 통신을 위한 핸드셰이크 프로토콜을 설정합니다.

StorageGRID는 TLS에 대해 다음 암호화 제품군을 지원합니다.

  • TLS_AES_256_GCM_SHA384를 참조하십시오

  • TLS_AES_128_GCM_SHA256를 참조하십시오

  • ECDHE-ECDSA-AES256-GCM-SHA384를 참조하십시오

  • ECDHE-RSA-AES256-GCM-SHA384를 참조하십시오

  • ECDHE-ECDSA-AES128-GCM-SHA256를 참조하십시오

  • ECDHE-RSA-AES128-GCM-SHA256를 참조하십시오

  • TLS_AES_256_GCM_SHA384를 참조하십시오

  • DHE-RSA-AES128-GCM-SHA256를 참조하십시오

  • DHE-RSA-AES256-GCM-SHA384를 참조하십시오

  • AES256-GCM-SHA384를 참조하십시오

  • AES128-GCM-SHA256를 참조하십시오

  • TLS_CHACHA20_POLY1305_SHA256를 참조하십시오

  • ECDHE-ECDSA-CHACHA20-POLY1305를 참조하십시오

  • ECDHE-RSA-CHACHA20-POLY1305를 참조하십시오

TLS v1.2 및 1.3이 지원됩니다.

SSLv3, TLS v1.1 및 이전 버전은 더 이상 지원되지 않습니다.

클라이언트와 StorageGRID가 서로를 식별 및 인증하고 기밀성 및 데이터 무결성을 유지할 수 있도록 합니다. 최신 TLS 버전 사용을 보장합니다. 이제 구성/보안 설정에서 암호를 구성할 수 있습니다

 — 

구성 가능한 서버 인증서(로드 밸런서 끝점)

그리드 관리자는 서버 인증서를 생성하거나 사용하도록 부하 분산 엔드포인트를 구성할 수 있습니다.

표준 CA(신뢰할 수 있는 인증 기관)에서 서명한 디지털 인증서를 사용하여 로드 밸런서 엔드포인트별 그리드와 클라이언트 간 개체 API 작업을 인증할 수 있습니다.

 — 

구성 가능한 서버 인증서(API 끝점)

그리드 관리자는 조직의 신뢰할 수 있는 CA에서 서명한 서버 인증서를 사용하도록 모든 StorageGRID API 끝점을 중앙에서 구성할 수 있습니다.

신뢰할 수 있는 표준 CA에서 서명한 디지털 인증서를 사용하여 클라이언트와 그리드 간의 개체 API 작업을 인증할 수 있습니다.

 — 

멀티 테넌시

StorageGRID는 그리드당 여러 테넌트를 지원하며 각 테넌트에는 자체 네임스페이스가 있습니다. 테넌트는 S3 프로토콜을 제공합니다. 기본적으로 버킷/컨테이너 및 오브젝트에 대한 액세스가 계정 내의 사용자로 제한됩니다. 테넌트는 한 명의 사용자(예: 각 사용자가 자신의 계정을 가지고 있는 엔터프라이즈 배포) 또는 여러 사용자(예: 각 계정이 회사 및 서비스 공급자의 고객인 서비스 공급자 구축)를 가질 수 있습니다. 사용자는 로컬 또는 페더레이션될 수 있으며 페더레이션 사용자는 Active Directory 또는 LDAP(Lightweight Directory Access Protocol)로 정의됩니다. StorageGRID는 사용자가 로컬 또는 페더레이션 계정 자격 증명을 사용하여 로그인할 수 있는 테넌트별 대시보드를 제공합니다. 사용자는 데이터 및 버킷에 의해 저장된 개체의 사용 정보를 포함하여 그리드 관리자가 할당한 할당량에 대해 테넌트 사용량에 대한 시각화 보고서에 액세스할 수 있습니다. 관리 권한이 있는 사용자는 사용자, 그룹 및 액세스 키 관리와 같은 테넌트 수준 시스템 관리 작업을 수행할 수 있습니다.

StorageGRID 관리자는 테넌트 액세스를 격리하면서 여러 테넌트의 데이터를 호스팅할 수 있으며, Active Directory 또는 LDAP와 같은 외부 ID 공급자와 사용자를 연합하여 사용자 ID를 설정할 수 있습니다.

SEC 규정 17a-4(f) CTFC 1.31(c) -(d)(FINRA) 규칙 4511(c)

액세스 자격 증명 거부 안 함

모든 S3 작업은 고유한 테넌트 계정, 사용자 및 액세스 키로 식별되고 기록됩니다.

그리드 관리자가 어떤 API 작업이 어떤 개인에 의해 수행되는지 설정할 수 있습니다.

 — 

익명 액세스를 사용할 수 없습니다

기본적으로 S3 계정에 대해서는 익명 액세스가 비활성화됩니다. 요청자는 테넌트 계정의 유효한 사용자에 대한 유효한 액세스 자격 증명이 있어야 계정 내의 버킷, 컨테이너 또는 개체에 액세스할 수 있습니다. 명시적 IAM 정책을 통해 S3 버킷 또는 오브젝트에 대한 익명 액세스를 활성화할 수 있습니다.

그리드 관리자가 버킷/컨테이너 및 객체에 대한 익명 액세스를 비활성화하거나 제어할 수 있습니다.

 — 

규정 준수 WORM

SEC Rule 17a-4(f)의 요구 사항을 충족하도록 설계되었으며 Cohasset에 의해 검증되었습니다. 고객은 버킷 수준의 규정 준수를 지원할 수 있습니다. 보존은 연장할 수 있지만 줄일 수는 없습니다. 정보 수명 주기 관리(ILM) 규칙은 최소 데이터 보호 수준을 적용합니다.

규정 데이터 보존 요구사항이 있는 테넌트에서 저장된 오브젝트 및 오브젝트 메타데이터에 대해 WORM 보호를 지원할 수 있습니다.

SEC 규정 17a-4(f) CTFC 1.31(c) -(d)(FINRA) 규칙 4511(c)

그리드 관리자는 클라이언트 수정 비활성화 옵션을 활성화하여 그리드 전체에서 WORM을 설정할 수 있습니다. 이렇게 하면 클라이언트가 모든 테넌트 계정에서 객체 또는 객체 메타데이터를 덮어쓰거나 삭제하지 못하게 됩니다.

S3 테넌트 관리자는 IAM 정책을 지정하여 오브젝트 및 메타데이터 덮어쓰기에 대한 사용자 지정 S3:PutOverwriteObject 권한이 포함된 테넌트, 버킷 또는 오브젝트 접두사로 WORM을 활성화할 수도 있습니다.

그리드 관리자 및 테넌트 관리자가 저장된 오브젝트 및 오브젝트 메타데이터에 대한 WORM 보호를 제어할 수 있도록 합니다.

SEC 규정 17a-4(f) CTFC 1.31(c) -(d)(FINRA) 규칙 4511(c)

KMS 호스트 서버 암호화 키 관리

그리드 관리자는 그리드 관리자에서 하나 이상의 외부 키 관리 서버(KMS)를 구성하여 StorageGRID 서비스 및 스토리지 어플라이언스에 암호화 키를 제공할 수 있습니다. 각 KMS 호스트 서버 또는 KMS 호스트 서버 클러스터는 KMIP(Key Management Interoperability Protocol)를 사용하여 관련 StorageGRID 사이트의 어플라이언스 노드에 암호화 키를 제공합니다.

유휴 데이터 암호화를 달성합니다. 어플라이언스 볼륨이 암호화된 후에는 노드가 KMS 호스트 서버와 통신할 수 없는 한 어플라이언스의 모든 데이터에 액세스할 수 없습니다.

SEC 규정 17a-4(f) CTFC 1.31(c) -(d)(FINRA) 규칙 4511(c)

구현할 수 있습니다

StorageGRID는 내장 이중화 및 자동 페일오버 기능을 제공합니다. 디스크 또는 노드에서 전체 사이트에 이르기까지 여러 번의 장애가 발생하더라도 테넌트 계정, 버킷 및 오브젝트에 계속 액세스할 수 있습니다. StorageGRID는 리소스를 인식하며 요청을 가용 노드 및 데이터 위치로 자동으로 리디렉션합니다. StorageGRID 사이트는 island 모드에서도 작동할 수 있습니다. WAN 중단 시 사이트의 나머지 시스템 연결이 끊어지면 로컬 리소스를 사용하여 읽기 및 쓰기를 계속할 수 있으며 WAN이 복구될 때 복제가 자동으로 재개됩니다.

그리드 관리자는 가동 시간, SLA 및 기타 계약상의 의무를 해결하고 비즈니스 연속성 계획을 구현할 수 있습니다.

 — 

  • S3 전용 데이터 액세스 보안 기능 *

AWS 서명 버전 2 및 버전 4

API 요청 서명은 S3 API 작업에 대한 인증을 제공합니다. 아마존은 두 가지 버전의 서명 버전 2와 버전 4를 지원합니다. 서명 프로세스는 요청자의 신원을 확인하고 전송 중인 데이터를 보호하며 잠재적인 재생 공격을 방지합니다.

Signature Version 4에 대한 AWS 권장 사항과 일치하며 Signature Version 2의 이전 버전과의 호환성을 지원합니다.

 — 

S3 오브젝트 잠금

StorageGRID의 S3 오브젝트 잠금 기능은 Amazon S3의 S3 오브젝트 잠금에 상응하는 오브젝트 보호 솔루션입니다.

테넌트가 S3 오브젝트 잠금이 설정된 상태에서 버킷을 생성하여 특정 오브젝트를 일정 시간 동안 또는 무기한으로 보존해야 하는 규정을 준수할 수 있습니다.

SEC 규정 17a-4(f) CTFC 1.31(c) -(d)(FINRA) 규칙 4511(c)

S3 자격 증명의 안전한 스토리지

S3 액세스 키는 SHA-2(암호 해싱 기능)로 보호되는 형식으로 저장됩니다.

키 길이(10도 31의 임의 생성 번호)와 암호 해시 알고리즘을 조합하여 액세스 키를 안전하게 저장할 수 있습니다.

 — 

시간이 제한된 S3 액세스 키

사용자에 대한 S3 액세스 키를 생성할 때 고객은 액세스 키에서 만료 날짜 및 시간을 설정할 수 있습니다.

그리드 관리자가 임시 S3 액세스 키를 프로비저닝할 수 있는 옵션을 제공합니다.

 — 

사용자 계정당 여러 개의 액세스 키

StorageGRID를 사용하면 사용자 계정에 대해 여러 개의 액세스 키를 생성하고 동시에 활성화할 수 있습니다. 각 API 작업은 테넌트 사용자 계정 및 액세스 키로 기록되므로 여러 키가 활성 상태에서도 거부 안 됨(Nonrepudiation)이 유지됩니다.

클라이언트가 액세스 키를 중단 없이 회전할 수 있도록 하며 각 클라이언트가 자체 키를 가질 수 있도록 하여 클라이언트 간에 키를 공유하지 않도록 합니다.

 — 

S3 IAM 액세스 정책

StorageGRID는 S3 IAM 정책을 지원하므로 그리드 관리자가 테넌트, 버킷 또는 오브젝트 접두사를 기준으로 세분화된 액세스 제어를 지정할 수 있습니다. 또한 StorageGRID는 IAM 정책 조건 및 변수를 지원하여 보다 동적인 액세스 제어 정책을 지원합니다.

그리드 관리자가 전체 테넌트에 대해 사용자 그룹별로 액세스 제어를 지정할 수 있도록 허용하며, 테넌트 사용자가 자신의 버킷 및 객체에 대한 액세스 제어를 지정할 수도 있습니다.

 — 

StorageGRID에서 관리하는 키(SSE)를 사용한 서버측 암호화

StorageGRID는 SSE를 지원하므로 StorageGRID에서 관리하는 암호화 키로 유휴 데이터의 멀티 테넌트 보호가 가능합니다.

테넌트가 오브젝트를 암호화할 수 있도록 합니다. 이러한 개체를 쓰고 검색하려면 암호화 키가 필요합니다.

SEC 규정 17a-4(f) CTFC 1.31(c) -(d)(FINRA) 규칙 4511(c)

고객이 제공한 암호화 키(SSE-C)를 사용한 서버측 암호화

StorageGRID는 SSE-C를 지원하여 클라이언트가 관리하는 암호화 키를 사용하여 저장된 데이터를 멀티 테넌트(Multi-tenant) 보호할 수 있습니다.

StorageGRID가 모든 개체 암호화 및 암호 해독 작업을 관리하지만 SSE-C를 사용하여 클라이언트는 암호화 키 자체를 관리해야 합니다.

클라이언트가 제어하는 키를 사용하여 개체를 암호화할 수 있습니다. 이러한 개체를 쓰고 검색하려면 암호화 키가 필요합니다.