Skip to main content
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Usando certificados de segurança do StorageGRID

Colaboradores
PDFs

Certificados de segurança são pequenos arquivos de dados usados para criar conexões seguras e confiáveis entre componentes do StorageGRID e entre componentes do StorageGRID e sistemas externos.

O StorageGRID usa dois tipos de certificados de segurança:

  • Certificados de servidor são necessários quando você usa conexões HTTPS. Os certificados de servidor são usados para estabelecer conexões seguras entre clientes e servidores, autenticando a identidade de um servidor para seus clientes e fornecendo um caminho de comunicação seguro para os dados. O servidor e o cliente têm uma cópia do certificado.

  • Certificados de cliente autenticam uma identidade de cliente ou usuário no servidor, fornecendo autenticação mais segura do que senhas sozinhas. Os certificados de cliente não encriptam dados.

Quando um cliente se coneta ao servidor usando HTTPS, o servidor responde com o certificado do servidor, que contém uma chave pública. O cliente verifica esse certificado comparando a assinatura do servidor com a assinatura em sua cópia do certificado. Se as assinaturas corresponderem, o cliente inicia uma sessão com o servidor usando a mesma chave pública.

O StorageGRID funciona como o servidor para algumas conexões (como o endpoint do balanceador de carga) ou como o cliente para outras conexões (como o serviço de replicação do CloudMirror).

Uma autoridade de certificação externa (CA) pode emitir certificados personalizados que são totalmente compatíveis com as políticas de segurança de informações da sua organização. O StorageGRID também inclui uma autoridade de certificação (CA) integrada que gera certificados de CA internos durante a instalação do sistema. Esses certificados internos de CA são usados, por padrão, para proteger o tráfego interno do StorageGRID. Embora você possa usar os certificados de CA internos para um ambiente que não seja de produção, a prática recomendada para um ambiente de produção é usar certificados personalizados assinados por uma autoridade de certificação externa. Conexões não protegidas sem certificado também são suportadas, mas não são recomendadas.

  • Os certificados de CA personalizados não removem os certificados internos; no entanto, os certificados personalizados devem ser os especificados para verificar conexões de servidor.

  • Todos os certificados personalizados devem atender às diretrizes de fortalecimento do sistema para certificados de servidor.

    "Endurecimento do sistema"

  • O StorageGRID oferece suporte ao agrupamento de certificados de uma CA em um único arquivo (conhecido como pacote de certificados da CA).

Observação O StorageGRID também inclui certificados de CA do sistema operacional que são os mesmos em todas as grades. Em ambientes de produção, certifique-se de especificar um certificado personalizado assinado por uma autoridade de certificação externa em vez do certificado CA do sistema operacional.

Variantes dos tipos de certificado de servidor e cliente são implementadas de várias maneiras. Você deve ter todos os certificados necessários para sua configuração específica do StorageGRID prontos antes de configurar o sistema.

Certificado Tipo de certificado Descrição Localização de navegação Detalhes

Certificado de cliente administrador

Cliente

Instalado em cada cliente, permitindo que o StorageGRID autentique o acesso de cliente externo.

  • Permite que clientes externos autorizados acessem o banco de dados do StorageGRID Prometheus.

  • Permite o monitoramento seguro do StorageGRID usando ferramentas externas.

Configuração > Controle de Acesso > certificados de Cliente

"Configurando certificados de cliente de administrador"

Certificado de federação de identidade

Servidor

Autentica a conexão entre o StorageGRID e um ative Directory externo, OpenLDAP ou Oracle Directory Server.usado para federação de identidade, o que permite que grupos de administradores e usuários sejam gerenciados por um sistema externo.

Configuração > Controle de Acesso > Federação de identidade

"Usando a federação de identidade"

Certificado de logon único (SSO)

Servidor

Autentica a conexão entre os Serviços de Federação do ative Directory (AD FS) e o StorageGRID que é usado para solicitações de logon único (SSO).

Configuração > Controle de Acesso > Início de sessão único

"Configurando logon único"

Certificado de servidor de gerenciamento de chaves (KMS)

Servidor e cliente

Autentica a conexão entre o StorageGRID e um servidor de gerenciamento de chaves externo (KMS), que fornece chaves de criptografia para os nós do dispositivo StorageGRID.

Configuração > Configurações do sistema > servidor de gerenciamento de chaves

"Adicionar um servidor de gerenciamento de chaves (KMS)"

Certificado de notificação de alerta por e-mail

Servidor e cliente

Autentica a conexão entre um servidor de e-mail SMTP e o StorageGRID que é usado para notificações de alerta.

  • Se as comunicações com o servidor SMTP exigirem TLS (Transport Layer Security), você deverá especificar o certificado CA do servidor de e-mail.

  • Especifique um certificado de cliente somente se o servidor de e-mail SMTP exigir certificados de cliente para autenticação.

Alertas > Configuração de e-mail

"Monitorizar Resolução de problemas"

Certificado de ponto final do balanceador de carga

Servidor

Autentica a conexão entre clientes S3 ou Swift e o serviço StorageGRID Load Balancer em nós de gateway ou nós de administração. Você carrega ou gera um certificado do balanceador de carga quando configura um endpoint do balanceador de carga. Os aplicativos do cliente usam o certificado do balanceador de carga ao se conetar ao StorageGRID para salvar e recuperar dados do objeto.

Nota: o certificado do balanceador de carga é o certificado mais utilizado durante a operação normal do StorageGRID.

Configuração > Configurações de rede > pontos finais do Load Balancer

Certificado do servidor de interface de gerenciamento

Servidor

Autentica a conexão entre navegadores da Web cliente e a interface de gerenciamento do StorageGRID, permitindo que os usuários acessem o Gerenciador de Grade e o Gerenciador de locatário sem avisos de segurança.

Este certificado também autentica as conexões da API de Gerenciamento de Grade e da API de Gerenciamento do locatário.

Você pode usar o certificado de CA interno ou carregar um certificado personalizado.

Configuração > Configurações de rede > certificados de servidor

Certificado de endpoint do Cloud Storage Pool

Servidor

Autentica a conexão do pool de storage de nuvem do StorageGRID para um local de storage externo (como o storage S3 Glacier ou Microsoft Azure Blob). Um certificado diferente é necessário para cada tipo de provedor de nuvem.

ILM > conjuntos de armazenamento

"Gerenciar objetos com ILM"

Certificado de endpoint de serviços de plataforma

Servidor

Autentica a conexão do serviço da plataforma StorageGRID a um recurso de storage S3.

Gerenciador do Locatário > ARMAZENAMENTO (S3) > terminais de serviços da plataforma

"Use uma conta de locatário"

Certificado do servidor de extremidade do serviço API do Object Storage

Servidor

Autentica conexões de cliente S3 ou Swift seguras ao serviço LDR (local Distribution Router) em um nó de armazenamento ou ao serviço CLB (descontinuado Connection Load Balancer) em um nó de gateway.

Configuração > Configurações de rede > pontos finais do Load Balancer

"Configurando um certificado de servidor personalizado para conexões ao nó de armazenamento ou ao serviço CLB"

Exemplo 1: Serviço do Load Balancer

Neste exemplo, o StorageGRID atua como servidor.

  1. Você configura um ponto de extremidade do balanceador de carga e carrega ou gera um certificado de servidor no StorageGRID.

  2. Você configura uma conexão de cliente S3 ou Swift para o endpoint do balanceador de carga e carrega o mesmo certificado para o cliente.

  3. Quando o cliente deseja salvar ou recuperar dados, ele se coneta ao endpoint do balanceador de carga usando HTTPS.

  4. O StorageGRID responde com o certificado do servidor, que contém uma chave pública e com uma assinatura baseada na chave privada.

  5. O cliente verifica esse certificado comparando a assinatura do servidor com a assinatura em sua cópia do certificado. Se as assinaturas corresponderem, o cliente inicia uma sessão usando a mesma chave pública.

  6. O cliente envia dados de objeto para o StorageGRID.

Exemplo 2: Servidor de gerenciamento de chaves externas (KMS)

Neste exemplo, o StorageGRID atua como cliente.

  1. Usando o software servidor de gerenciamento de chaves externo, você configura o StorageGRID como um cliente KMS e obtém um certificado de servidor assinado pela CA, um certificado de cliente público e a chave privada para o certificado de cliente.

  2. Usando o Gerenciador de Grade, você configura um servidor KMS e carrega os certificados de servidor e cliente e a chave privada do cliente.

  3. Quando um nó StorageGRID precisa de uma chave de criptografia, ele faz uma solicitação ao servidor KMS que inclui dados do certificado e uma assinatura com base na chave privada.

  4. O servidor KMS valida a assinatura do certificado e decide que pode confiar no StorageGRID.

  5. O servidor KMS responde usando a conexão validada.