O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Recursos de segurança de acesso a dados

10/21/2024 Colaboradores

PDFs

Saiba mais sobre os recursos de segurança de acesso a dados no StorageGRID.

Recurso	Função	Impacto	Conformidade regulamentar
Segurança de camada de transporte configurável (TLS)	O TLS estabelece um protocolo de handshake para comunicação entre um cliente e um nó de gateway StorageGRID, nó de armazenamento ou ponto de extremidade do balanceador de carga. O StorageGRID suporta os seguintes conjuntos de codificação para TLS: TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 TLS_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 AES256-GCM-SHA384 AES128-GCM-SHA256 TLS_CHACHA20_POLY1305_SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305 Suporte para TLS v1,2 e 1,3. SSLv3, TLS v1,1 e anteriores não são mais suportados.	Permite que um cliente e o StorageGRID se identifiquem e autentiquem entre si e se comuniquem com confidencialidade e integridade de dados. Garante o uso de uma versão TLS recente. As cifras agora são configuráveis nas configurações de Configuração/Segurança	—
Certificado de servidor configurável (Load Balancer Endpoint)	Os administradores de grade podem configurar o Load Balancer Endpoints para gerar ou usar um certificado de servidor.	Permite o uso de certificados digitais assinados por sua autoridade de certificação confiável (CA) padrão para autenticar operações de API de objeto entre grade e cliente por ponto final do Load Balancer.	—
Certificado de servidor configurável (endpoint API)	Os administradores de grade podem configurar centralmente todos os endpoints da API do StorageGRID para usar um certificado de servidor assinado pela CA confiável de sua organização.	Permite o uso de certificados digitais assinados por sua CA padrão e confiável para autenticar operações de API de objeto entre um cliente e a grade.	—
Alocação a vários clientes	O StorageGRID dá suporte a vários locatários por grade; cada locatário tem seu próprio namespace. Um locatário fornece o protocolo S3; por padrão, o acesso a buckets/containers e objetos é restrito aos usuários dentro da conta. Os locatários podem ter um usuário (por exemplo, uma implantação corporativa, na qual cada usuário tem sua própria conta) ou vários usuários (por exemplo, uma implantação de provedor de serviços, na qual cada conta é uma empresa e um cliente do provedor de serviços). Os usuários podem ser locais ou federados; os usuários federados são definidos pelo ative Directory ou pelo LDAP (Lightweight Directory Access Protocol). O StorageGRID fornece um painel por locatário, no qual os usuários fazem login usando suas credenciais de conta local ou federada. Os usuários podem acessar relatórios visualizados sobre o uso do locatário em relação à cota atribuída pelo administrador da grade, incluindo informações de uso em dados e objetos armazenados por buckets. Os usuários com permissão administrativa podem executar tarefas de administração do sistema no nível do locatário, como gerenciar usuários e grupos e chaves de acesso.	Permite que os administradores do StorageGRID hospedem dados de vários locatários enquanto isolam o acesso do locatário e estabeleçam a identidade do usuário federando usuários com um provedor de identidade externo, como o ative Directory ou LDAP.	Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)
Não repúdio de credenciais de acesso	Cada operação do S3 é identificada e registrada com uma conta de locatário, usuário e chave de acesso exclusivos.	Permite que os administradores de Grid estabeleçam quais ações de API são executadas por quais indivíduos.	—
Acesso anônimo desativado	Por padrão, o acesso anônimo é desativado para contas S3. Um solicitante deve ter uma credencial de acesso válida para um usuário válido na conta do locatário para acessar buckets, contentores ou objetos dentro da conta. O acesso anônimo a buckets ou objetos do S3 pode ser habilitado com uma política explícita do IAM.	Permite que os administradores de Grade desativem ou controlem o acesso anônimo a buckets/containers e objetos.	—
WORM de conformidade	Projetado para atender aos requisitos da regra SEC 17a-4(f) e validado pela Cohasset. Os clientes podem habilitar a conformidade no nível do balde. As regras de gerenciamento do ciclo de vida das informações (ILM) impõem níveis mínimos de proteção de dados.	Permite que os locatários com requisitos de retenção de dados regulatórios habilitem a proteção WORM em objetos armazenados e metadados de objetos.	Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)
WORM	Os administradores de grade podem habilitar o WORM em toda a grade ativando a opção Desativar modificação do cliente, que impede que os clientes substituam ou excluam objetos ou metadados de objetos em todas as contas de locatário. S3 os administradores do locatário também podem habilitar WORM por locatário, bucket ou prefixo de objeto especificando a política do IAM, que inclui a permissão personalizada S3: PutOverwriteObject para substituição de objetos e metadados.	Permite que administradores de grade e administradores de locatários controlem a proteção WORM em objetos armazenados e metadados de objetos.	Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)
Gerenciamento de chaves de criptografia do servidor host KMS	Os administradores de grade podem configurar um ou mais servidores de gerenciamento de chaves externos (KMS) no Gerenciador de grade para fornecer chaves de criptografia para serviços e dispositivos de armazenamento do StorageGRID. Cada servidor host KMS ou cluster de servidor host KMS usa o KMIP (Key Management Interoperability Protocol) para fornecer uma chave de criptografia aos nós do dispositivo no site associado do StorageGRID.	A criptografia de dados em repouso é obtida. Depois que os volumes do dispositivo forem criptografados, você não poderá acessar nenhum dado no dispositivo, a menos que o nó possa se comunicar com o servidor host KMS.	Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)
Failover automatizado	O StorageGRID fornece redundância incorporada e failover automatizado. O acesso a contas de locatários, buckets e objetos pode continuar mesmo que haja várias falhas, desde discos ou nós até sites inteiros. O StorageGRID tem reconhecimento de recursos e redireciona automaticamente as solicitações para nós e locais de dados disponíveis. Os locais do StorageGRID podem até operar no modo islanded; se uma interrupção da WAN desconeta um local do resto do sistema, as leituras e gravações podem continuar com os recursos locais e a replicação é retomada automaticamente quando a WAN é restaurada.	Permite que os administradores da Grid solucionem o tempo de atividade, SLA e outras obrigações contratuais e implementem planos de continuidade de negócios.	—
Recursos de segurança de acesso a dados específicos do S3	Assinatura AWS versão 2 e versão 4	As solicitações de API de assinatura fornecem autenticação para operações de API S3. A Amazon suporta duas versões do Signature versão 2 e versão 4. O processo de assinatura verifica a identidade do solicitante, protege os dados em trânsito e protege contra possíveis ataques de repetição.	Alinha-se à recomendação da AWS para assinatura versão 4 e permite compatibilidade com versões anteriores com aplicativos mais antigos com a assinatura versão 2.
—	S3 bloqueio de objetos	O recurso bloqueio de objetos S3 no StorageGRID é uma solução de proteção de objetos equivalente ao bloqueio de objetos S3 no Amazon S3.	Permite que os locatários criem buckets com o S3 Object Lock habilitado para cumprir com os regulamentos que exigem que certos objetos sejam retidos por um período fixo de tempo ou indefinidamente.
Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)	Armazenamento seguro de credenciais S3	As chaves de acesso S3 são armazenadas em um formato protegido por uma função de hash de senha (SHA-2).	Permite o armazenamento seguro de chaves de acesso através de uma combinação de comprimento de chave (um número de 10 31 gerado aleatoriamente) e um algoritmo de hash de senha.
—	Teclas de acesso S3 com limite de tempo	Ao criar uma chave de acesso S3 para um usuário, os clientes podem definir uma data e hora de expiração na chave de acesso.	Dá aos administradores de Grade a opção de provisionar chaves de acesso S3 temporárias.
—	Várias chaves de acesso por conta de usuário	O StorageGRID permite que várias chaves de acesso sejam criadas e simultaneamente ativas para uma conta de usuário. Como cada ação de API é registrada com uma conta de usuário locatário e chave de acesso, a não rejeição é preservada apesar de várias chaves estarem ativas.	Permite que os clientes girem chaves de acesso sem interrupções e permite que cada cliente tenha sua própria chave, desencorajando o compartilhamento de chaves entre os clientes.
—	S3 Política de acesso do IAM	O StorageGRID oferece suporte a políticas do IAM S3, permitindo que os administradores de grade especifiquem o controle de acesso granular por locatário, bucket ou prefixo de objeto. O StorageGRID também suporta as condições e variáveis da política do IAM, permitindo políticas de controle de acesso mais dinâmicas.	Permite que os administradores de Grade especifiquem o controle de acesso por grupos de usuários para todo o locatário; também permite que os usuários do locatário especifiquem o controle de acesso para seus próprios buckets e objetos.
—	Criptografia no lado do servidor com chaves gerenciadas por StorageGRID (SSE)	O StorageGRID é compatível com SSE, permitindo a proteção de dados em repouso com chaves de criptografia gerenciadas pelo StorageGRID.	Permite que os locatários criptografem objetos. A chave de criptografia é necessária para gravar e recuperar esses objetos.
Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)	Criptografia no lado do servidor com chaves de criptografia fornecidas pelo cliente (SSE-C)	O StorageGRID oferece suporte ao SSE-C, permitindo a proteção de dados em repouso com chaves de criptografia gerenciadas pelo cliente. Embora o StorageGRID gerencie todas as operações de criptografia e descriptografia de objetos, com o SSE-C, o cliente deve gerenciar as próprias chaves de criptografia.	Permite que os clientes criptografem objetos com as chaves que controlam. A chave de criptografia é necessária para gravar e recuperar esses objetos.

Recurso

Função

Impacto

Conformidade regulamentar

Segurança de camada de transporte configurável (TLS)

O TLS estabelece um protocolo de handshake para comunicação entre um cliente e um nó de gateway StorageGRID, nó de armazenamento ou ponto de extremidade do balanceador de carga.

O StorageGRID suporta os seguintes conjuntos de codificação para TLS:

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
TLS_AES_256_GCM_SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
AES256-GCM-SHA384
AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305

Suporte para TLS v1,2 e 1,3.

SSLv3, TLS v1,1 e anteriores não são mais suportados.

Permite que um cliente e o StorageGRID se identifiquem e autentiquem entre si e se comuniquem com confidencialidade e integridade de dados. Garante o uso de uma versão TLS recente. As cifras agora são configuráveis nas configurações de Configuração/Segurança

—

Certificado de servidor configurável (Load Balancer Endpoint)

Os administradores de grade podem configurar o Load Balancer Endpoints para gerar ou usar um certificado de servidor.

Permite o uso de certificados digitais assinados por sua autoridade de certificação confiável (CA) padrão para autenticar operações de API de objeto entre grade e cliente por ponto final do Load Balancer.

—

Certificado de servidor configurável (endpoint API)

Os administradores de grade podem configurar centralmente todos os endpoints da API do StorageGRID para usar um certificado de servidor assinado pela CA confiável de sua organização.

Permite o uso de certificados digitais assinados por sua CA padrão e confiável para autenticar operações de API de objeto entre um cliente e a grade.

—

Alocação a vários clientes

O StorageGRID dá suporte a vários locatários por grade; cada locatário tem seu próprio namespace. Um locatário fornece o protocolo S3; por padrão, o acesso a buckets/containers e objetos é restrito aos usuários dentro da conta. Os locatários podem ter um usuário (por exemplo, uma implantação corporativa, na qual cada usuário tem sua própria conta) ou vários usuários (por exemplo, uma implantação de provedor de serviços, na qual cada conta é uma empresa e um cliente do provedor de serviços). Os usuários podem ser locais ou federados; os usuários federados são definidos pelo ative Directory ou pelo LDAP (Lightweight Directory Access Protocol). O StorageGRID fornece um painel por locatário, no qual os usuários fazem login usando suas credenciais de conta local ou federada. Os usuários podem acessar relatórios visualizados sobre o uso do locatário em relação à cota atribuída pelo administrador da grade, incluindo informações de uso em dados e objetos armazenados por buckets. Os usuários com permissão administrativa podem executar tarefas de administração do sistema no nível do locatário, como gerenciar usuários e grupos e chaves de acesso.

Permite que os administradores do StorageGRID hospedem dados de vários locatários enquanto isolam o acesso do locatário e estabeleçam a identidade do usuário federando usuários com um provedor de identidade externo, como o ative Directory ou LDAP.

Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)

Não repúdio de credenciais de acesso

Cada operação do S3 é identificada e registrada com uma conta de locatário, usuário e chave de acesso exclusivos.

Permite que os administradores de Grid estabeleçam quais ações de API são executadas por quais indivíduos.

—

Acesso anônimo desativado

Por padrão, o acesso anônimo é desativado para contas S3. Um solicitante deve ter uma credencial de acesso válida para um usuário válido na conta do locatário para acessar buckets, contentores ou objetos dentro da conta. O acesso anônimo a buckets ou objetos do S3 pode ser habilitado com uma política explícita do IAM.

Permite que os administradores de Grade desativem ou controlem o acesso anônimo a buckets/containers e objetos.

—

WORM de conformidade

Projetado para atender aos requisitos da regra SEC 17a-4(f) e validado pela Cohasset. Os clientes podem habilitar a conformidade no nível do balde. As regras de gerenciamento do ciclo de vida das informações (ILM) impõem níveis mínimos de proteção de dados.

Permite que os locatários com requisitos de retenção de dados regulatórios habilitem a proteção WORM em objetos armazenados e metadados de objetos.

Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)

WORM

Os administradores de grade podem habilitar o WORM em toda a grade ativando a opção Desativar modificação do cliente, que impede que os clientes substituam ou excluam objetos ou metadados de objetos em todas as contas de locatário.

S3 os administradores do locatário também podem habilitar WORM por locatário, bucket ou prefixo de objeto especificando a política do IAM, que inclui a permissão personalizada S3: PutOverwriteObject para substituição de objetos e metadados.

Permite que administradores de grade e administradores de locatários controlem a proteção WORM em objetos armazenados e metadados de objetos.

Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)

Gerenciamento de chaves de criptografia do servidor host KMS

Os administradores de grade podem configurar um ou mais servidores de gerenciamento de chaves externos (KMS) no Gerenciador de grade para fornecer chaves de criptografia para serviços e dispositivos de armazenamento do StorageGRID. Cada servidor host KMS ou cluster de servidor host KMS usa o KMIP (Key Management Interoperability Protocol) para fornecer uma chave de criptografia aos nós do dispositivo no site associado do StorageGRID.

A criptografia de dados em repouso é obtida. Depois que os volumes do dispositivo forem criptografados, você não poderá acessar nenhum dado no dispositivo, a menos que o nó possa se comunicar com o servidor host KMS.

Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)

Failover automatizado

O StorageGRID fornece redundância incorporada e failover automatizado. O acesso a contas de locatários, buckets e objetos pode continuar mesmo que haja várias falhas, desde discos ou nós até sites inteiros. O StorageGRID tem reconhecimento de recursos e redireciona automaticamente as solicitações para nós e locais de dados disponíveis. Os locais do StorageGRID podem até operar no modo islanded; se uma interrupção da WAN desconeta um local do resto do sistema, as leituras e gravações podem continuar com os recursos locais e a replicação é retomada automaticamente quando a WAN é restaurada.

Permite que os administradores da Grid solucionem o tempo de atividade, SLA e outras obrigações contratuais e implementem planos de continuidade de negócios.

—

Recursos de segurança de acesso a dados específicos do S3

Assinatura AWS versão 2 e versão 4

As solicitações de API de assinatura fornecem autenticação para operações de API S3. A Amazon suporta duas versões do Signature versão 2 e versão 4. O processo de assinatura verifica a identidade do solicitante, protege os dados em trânsito e protege contra possíveis ataques de repetição.

Alinha-se à recomendação da AWS para assinatura versão 4 e permite compatibilidade com versões anteriores com aplicativos mais antigos com a assinatura versão 2.

—

S3 bloqueio de objetos

O recurso bloqueio de objetos S3 no StorageGRID é uma solução de proteção de objetos equivalente ao bloqueio de objetos S3 no Amazon S3.

Permite que os locatários criem buckets com o S3 Object Lock habilitado para cumprir com os regulamentos que exigem que certos objetos sejam retidos por um período fixo de tempo ou indefinidamente.

Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)

Armazenamento seguro de credenciais S3

As chaves de acesso S3 são armazenadas em um formato protegido por uma função de hash de senha (SHA-2).

Permite o armazenamento seguro de chaves de acesso através de uma combinação de comprimento de chave (um número de 10 31 gerado aleatoriamente) e um algoritmo de hash de senha.

—

Teclas de acesso S3 com limite de tempo

Ao criar uma chave de acesso S3 para um usuário, os clientes podem definir uma data e hora de expiração na chave de acesso.

Dá aos administradores de Grade a opção de provisionar chaves de acesso S3 temporárias.

—

Várias chaves de acesso por conta de usuário

O StorageGRID permite que várias chaves de acesso sejam criadas e simultaneamente ativas para uma conta de usuário. Como cada ação de API é registrada com uma conta de usuário locatário e chave de acesso, a não rejeição é preservada apesar de várias chaves estarem ativas.

Permite que os clientes girem chaves de acesso sem interrupções e permite que cada cliente tenha sua própria chave, desencorajando o compartilhamento de chaves entre os clientes.

—

S3 Política de acesso do IAM

O StorageGRID oferece suporte a políticas do IAM S3, permitindo que os administradores de grade especifiquem o controle de acesso granular por locatário, bucket ou prefixo de objeto. O StorageGRID também suporta as condições e variáveis da política do IAM, permitindo políticas de controle de acesso mais dinâmicas.

Permite que os administradores de Grade especifiquem o controle de acesso por grupos de usuários para todo o locatário; também permite que os usuários do locatário especifiquem o controle de acesso para seus próprios buckets e objetos.

—

Criptografia no lado do servidor com chaves gerenciadas por StorageGRID (SSE)

O StorageGRID é compatível com SSE, permitindo a proteção de dados em repouso com chaves de criptografia gerenciadas pelo StorageGRID.

Permite que os locatários criptografem objetos. A chave de criptografia é necessária para gravar e recuperar esses objetos.

Regra DO SEC 17a-4(f) CTFC 1,31(c)-(d) (FINRA) regra 4511(c)

Criptografia no lado do servidor com chaves de criptografia fornecidas pelo cliente (SSE-C)

O StorageGRID oferece suporte ao SSE-C, permitindo a proteção de dados em repouso com chaves de criptografia gerenciadas pelo cliente.

Embora o StorageGRID gerencie todas as operações de criptografia e descriptografia de objetos, com o SSE-C, o cliente deve gerenciar as próprias chaves de criptografia.

Permite que os clientes criptografem objetos com as chaves que controlam. A chave de criptografia é necessária para gravar e recuperar esses objetos.

Recursos de segurança de acesso a dados

Creating your file...