Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Diretrizes de proteção para TLS e SSH

PDFs

Você deve substituir os certificados padrão criados durante a instalação e selecionar a política de segurança apropriada para conexões TLS e SSH.

Diretrizes de reforço para certificados

Você deve substituir os certificados padrão criados durante a instalação pelos seus próprios certificados personalizados.

Para muitas organizações, o certificado digital autoassinado para acesso à web do StorageGRID não é compatível com suas políticas de segurança da informação. Em sistemas de produção, você deve instalar um certificado digital assinado por CA para uso na autenticação do StorageGRID.

Especificamente, você deve usar certificados de servidor personalizados em vez destes certificados padrão:

  • Certificado de interface de gerenciamento: usado para proteger o acesso ao Grid Manager, ao Tenant Manager, à Grid Management API e à Tenant Management API.

  • Certificado de API S3: usado para proteger o acesso aos nós de armazenamento e nós de gateway, que os aplicativos cliente S3 usam para carregar e baixar dados de objetos.

Ver"Gerenciar certificados de segurança" para obter detalhes e instruções.

Observação O StorageGRID gerencia os certificados usados ​​para endpoints do balanceador de carga separadamente. Para configurar certificados do balanceador de carga, consulte"Configurar pontos de extremidade do balanceador de carga" .

Ao usar certificados de servidor personalizados, siga estas diretrizes:

  • Os certificados devem ter uma subjectAltName que corresponde às entradas DNS para StorageGRID. Para obter detalhes, consulte a seção 4.2.1.6, "Nome alternativo do assunto", em "RFC 5280: Certificado PKIX e Perfil CRL" .

  • Sempre que possível, evite o uso de certificados curinga. Uma exceção a essa diretriz é o certificado para um ponto de extremidade de estilo hospedado virtual S3, que requer o uso de um curinga se os nomes dos buckets não forem conhecidos com antecedência.

  • Quando você precisar usar curingas em certificados, tome medidas adicionais para reduzir os riscos. Use um padrão curinga como *.s3.example.com , e não use o s3.example.com sufixo para outras aplicações. Este padrão também funciona com acesso S3 no estilo de caminho, como dc1-s1.s3.example.com/mybucket .

  • Defina os tempos de expiração dos certificados como curtos (por exemplo, 2 meses) e use a API de gerenciamento de grade para automatizar a rotação de certificados. Isso é especialmente importante para certificados curinga.

Além disso, os clientes devem usar verificação rigorosa de nome de host ao se comunicar com o StorageGRID.

Diretrizes de reforço para política TLS e SSH

Você pode selecionar uma política de segurança para determinar quais protocolos e cifras são usados ​​para estabelecer conexões TLS seguras com aplicativos cliente e conexões SSH seguras com serviços internos do StorageGRID .

A política de segurança controla como TLS e SSH criptografam dados em movimento. Como prática recomendada, você deve desabilitar opções de criptografia que não são necessárias para compatibilidade do aplicativo. Use a política Moderna padrão, a menos que seu sistema precise ser compatível com os Critérios Comuns ou você precise usar outras cifras.

Ver"Gerenciar a política TLS e SSH" para obter detalhes e instruções.