S3 클라이언트에 대한 보안
StorageGRID 테넌트 계정은 S3 클라이언트 애플리케이션을 사용하여 오브젝트 데이터를 StorageGRID에 저장합니다. 클라이언트 응용 프로그램에 대해 구현된 보안 조치를 검토해야 합니다.
요약
다음 목록에는 S3 REST API에 대해 보안이 구현되는 방식이 요약되어 있습니다.
- 연결 보안
-
TLS
- 서버 인증
-
시스템 CA에서 서명한 X.509 서버 인증서 또는 관리자가 제공한 사용자 지정 서버 인증서입니다
- 클라이언트 인증
-
S3 계정 액세스 키 ID 및 비밀 액세스 키
- 클라이언트 인증
-
버킷 소유권 및 모든 적용 가능한 액세스 제어 정책
StorageGRID가 클라이언트 응용 프로그램에 보안을 제공하는 방법
S3 클라이언트 애플리케이션은 게이트웨이 노드 또는 관리 노드에서 로드 밸런서 서비스에 연결하거나 스토리지 노드에 직접 연결할 수 있습니다.
-
부하 분산 서비스에 연결하는 클라이언트는 사용자의 방식에 따라 HTTPS 또는 HTTP를 사용할 수 "부하 분산 장치 끝점을 구성합니다"있습니다.
HTTPS는 TLS로 암호화된 안전한 통신을 제공하며 권장됩니다. 보안 인증서를 끝점에 연결해야 합니다.
HTTP는 보안이 약하고 암호화되지 않은 통신을 제공하므로 비운영 또는 테스트 그리드에만 사용해야 합니다.
-
스토리지 노드에 연결하는 클라이언트도 HTTPS 또는 HTTP를 사용할 수 있습니다.
HTTPS가 기본값이며 권장됩니다.
HTTP는 보안이 약하고 암호화되지 않은 통신을 제공하지만 비운영 또는 테스트 그리드의 경우 선택적으로 사용할 수 "활성화됨"있습니다.
-
StorageGRID와 클라이언트 간의 통신은 TLS를 사용하여 암호화됩니다.
-
로드 밸런서 끝점이 HTTP 또는 HTTPS 연결을 허용하도록 구성되었는지 여부에 관계없이 그리드 내의 로드 밸런서 서비스와 스토리지 노드 간의 통신이 암호화됩니다.
-
클라이언트가 REST API 작업을 수행하려면 StorageGRID에 을 제공해야 "HTTP 인증 헤더"합니다.
보안 인증서 및 클라이언트 응용 프로그램
모든 경우에 클라이언트 응용 프로그램은 그리드 관리자가 업로드한 사용자 지정 서버 인증서 또는 StorageGRID 시스템에서 생성한 인증서를 사용하여 TLS 연결을 만들 수 있습니다.
-
클라이언트 응용 프로그램은 부하 분산 서비스에 연결할 때 부하 분산 장치 끝점에 대해 구성된 인증서를 사용합니다. 각 로드 밸런서 끝점에는 고유한 인증서 —(그리드 관리자가 업로드한 사용자 지정 서버 인증서 또는 끝점 구성 시 그리드 관리자가 StorageGRID에서 생성한 인증서)가 있습니다.
을 "로드 균형 조정에 대한 고려 사항"참조하십시오.
-
클라이언트 애플리케이션이 스토리지 노드에 직접 접속하면 시스템 인증 기관에서 서명한 StorageGRID 시스템을 설치할 때 스토리지 노드에 대해 생성된 시스템 생성 서버 인증서를 사용합니다. 또는 그리드 관리자가 그리드에 제공하는 단일 사용자 정의 서버 인증서입니다. 을 "사용자 지정 S3 API 인증서를 추가합니다"참조하십시오.
클라이언트가 TLS 연결을 설정하는 데 사용하는 인증서를 신뢰하도록 구성해야 합니다.
TLS 라이브러리에 대해 지원되는 해시 및 암호화 알고리즘
StorageGRID 시스템은 클라이언트 응용 프로그램이 TLS 세션을 설정할 때 사용할 수 있는 암호 그룹 집합을 지원합니다. 암호를 구성하려면 * 구성 * > * 보안 * > * 보안 설정 * 으로 이동하여 * TLS 및 SSH 정책 * 을 선택합니다.
지원되는 TLS 버전입니다
StorageGRID는 TLS 1.2 및 TLS 1.3을 지원합니다.
SSLv3 및 TLS 1.1(또는 이전 버전)은 더 이상 지원되지 않습니다. |