Configure a segurança para a API REST
Sugerir alterações
PDFs
Você deve analisar as medidas de segurança implementadas para a API REST e entender como proteger seu sistema.
Como o StorageGRID fornece segurança para a API REST
Você deve entender como o sistema StorageGRID implementa segurança, autenticação e autorização para a API REST.
O StorageGRID usa as seguintes medidas de segurança.
-
As comunicações do cliente com o serviço Load Balancer usam HTTPS se o HTTPS estiver configurado para o ponto de extremidade do balanceador de carga.
Quando "configurar um ponto de extremidade do balanceador de carga"você , o HTTP pode ser habilitado opcionalmente. Por exemplo, você pode querer usar HTTP para testes ou outros fins de não produção.
-
Por padrão, o StorageGRID usa HTTPS para comunicações de clientes com nós de storage.
Opcionalmente"Ative HTTP para essas conexões", . Por exemplo, você pode querer usar HTTP para testes ou outros fins de não produção.
-
As comunicações entre o StorageGRID e o cliente são criptografadas usando TLS.
-
As comunicações entre o serviço Load Balancer e os nós de armazenamento dentro da grade são criptografadas se o ponto de extremidade do balanceador de carga está configurado para aceitar conexões HTTP ou HTTPS.
-
Os clientes devem fornecer cabeçalhos de autenticação HTTP ao StorageGRID para executar operações de API REST.
Certificados de segurança e aplicativos de cliente
Os clientes podem se conectar ao serviço Load Balancer em nós de gateway ou nós de administração, diretamente aos nós de storage.
Em todos os casos, os aplicativos clientes podem fazer conexões TLS usando um certificado de servidor personalizado carregado pelo administrador da grade ou um certificado gerado pelo sistema StorageGRID:
-
Quando os aplicativos cliente se conetam ao serviço do Load Balancer, eles fazem isso usando o certificado que foi configurado para o ponto de extremidade do balanceador de carga específico usado para fazer a conexão. Cada endpoint tem seu próprio certificado, que é um certificado de servidor personalizado carregado pelo administrador da grade ou um certificado que o administrador da grade gerou no StorageGRID ao configurar o endpoint.
-
Quando os aplicativos cliente se conetam diretamente a um nó de armazenamento, eles usam os certificados de servidor gerados pelo sistema que foram gerados para nós de armazenamento quando o sistema StorageGRID foi instalado (que são assinados pela autoridade de certificação do sistema) ou um único certificado de servidor personalizado fornecido para a grade por um administrador de grade.
Os clientes devem ser configurados para confiar na autoridade de certificação que assinou qualquer certificado que usam para estabelecer conexões TLS.
"configuração dos pontos de extremidade do balanceador de carga"Consulte e "adicionando um único certificado de servidor personalizado" para obter conexões TLS diretamente aos nós de storage.
Resumo
A tabela a seguir mostra como os problemas de segurança são implementados nas APIs REST S3 e Swift:
| Problema de segurança | Implementação da API REST |
|---|---|
Segurança da ligação |
TLS |
Autenticação do servidor |
Certificado de servidor X,509 assinado pela CA do sistema ou certificado de servidor personalizado fornecido pelo administrador |
Autenticação de cliente |
|
Autorização do cliente |
|
Algoritmos de hash e criptografia suportados para bibliotecas TLS
O sistema StorageGRID suporta um conjunto limitado de conjuntos de codificação que os aplicativos clientes podem usar ao estabelecer uma sessão de Segurança da camada de Transporte (TLS). Para configurar cifras, vá para CONFIGURATION > Security > Security settings e selecione TLS e SSH policies.
Versões suportadas do TLS
O StorageGRID é compatível com TLS 1,2 e TLS 1,3.
|
SSLv3 e TLS 1,1 (ou versões anteriores) não são mais compatíveis. |