TLS 및 SSH에 대한 강화 지침
설치 중에 생성된 기본 인증서를 교체하고 TLS 및 SSH 연결에 적합한 보안 정책을 선택해야 합니다.
인증서 강화 지침
설치 중에 생성된 기본 인증서를 사용자 지정 인증서로 교체해야 합니다.
많은 조직에서 StorageGRID 웹 액세스를 위한 자체 서명된 디지털 인증서가 정보 보안 정책을 준수하지 않습니다. 프로덕션 시스템에서는 StorageGRID 인증에 사용할 CA 서명 디지털 인증서를 설치해야 합니다.
특히 다음과 같은 기본 인증서 대신 사용자 지정 서버 인증서를 사용해야 합니다.
-
* 관리 인터페이스 인증서 *: 그리드 관리자, 테넌트 관리자, 그리드 관리 API 및 테넌트 관리 API에 대한 액세스를 보호하는 데 사용됩니다.
-
* S3 API 인증서 *: S3 클라이언트 응용 프로그램이 객체 데이터를 업로드 및 다운로드하는 데 사용하는 스토리지 노드 및 게이트웨이 노드에 대한 액세스를 보호하는 데 사용됩니다.
자세한 내용 및 지침은 을 "보안 인증서를 관리합니다"참조하십시오.
StorageGRID는 로드 밸런서 끝점에 사용되는 인증서를 별도로 관리합니다. 부하 분산 장치 인증서를 구성하려면 을 참조하십시오"로드 밸런서 엔드포인트를 구성합니다". |
사용자 지정 서버 인증서를 사용하는 경우 다음 지침을 따르십시오.
-
인증서에는 StorageGRID의 DNS 항목과 일치하는 가 있어야
subjectAltName
합니다. 자세한 내용은 의 4.2.1.6절 "주체 대체 이름"을 참조하십시오 "RFC 5280: PKIX 인증서 및 CRL 프로필". -
가능한 경우 와일드카드 인증서를 사용하지 마십시오. 이 지침의 예외는 S3 가상 호스팅 스타일 엔드포인트에 대한 인증서이며, 버킷 이름을 미리 모르는 경우 와일드카드를 사용해야 합니다.
-
인증서에 와일드카드를 사용해야 하는 경우 위험을 줄이기 위해 추가 단계를 수행해야 합니다. 과 같은 와일드카드 패턴을
*.s3.example.com
사용하고 다른 응용 프로그램에는 접미사를 사용하지s3.example.com
마십시오. 이 패턴은 같은 경로 스타일 S3 액세스에서도 사용할 수dc1-s1.s3.example.com/mybucket
있습니다. -
인증서 만료 시간을 짧게(예: 2개월) 설정하고 그리드 관리 API를 사용하여 인증서 회전을 자동화합니다. 이것은 와일드카드 인증서에 특히 중요합니다.
또한 클라이언트는 StorageGRID과 통신할 때 엄격한 호스트 이름 확인을 사용해야 합니다.
TLS 및 SSH 정책 강화 지침
보안 정책을 선택하여 클라이언트 응용 프로그램과 보안 TLS 연결을 설정하고 내부 StorageGRID 서비스에 대한 SSH 연결을 보안하는 데 사용되는 프로토콜과 암호를 결정할 수 있습니다.
보안 정책은 TLS 및 SSH가 이동 중인 데이터를 암호화하는 방법을 제어합니다. 가장 좋은 방법은 응용 프로그램 호환성에 필요하지 않은 암호화 옵션을 비활성화하는 것입니다. 시스템이 공통 기준 호환이거나 다른 암호를 사용해야 하는 경우가 아니면 기본 최신 정책을 사용합니다.
자세한 내용 및 지침은 을 "TLS 및 SSH 정책을 관리합니다"참조하십시오.