信頼されていないクライアント ネットワークの管理

クライアント ネットワークを使用している場合は、明示的に設定されたエンドポイントでのみインバウンド クライアント トラフィックを受け入れることで、StorageGRIDを悪意のある攻撃から保護できます。

デフォルトでは、各グリッド ノードのクライアント ネットワークは信頼されています。つまり、StorageGRIDは、使用可能なすべての外部ポートでの各グリッド ノードへのインバウンド接続をデフォルトで信頼します(ご使用の環境のインストール手順の「外部接続」に関する説明を参照)。

各ノードのクライアント ネットワークを信頼されていないネットワークとして指定することで、StorageGRIDシステムに対する悪意ある攻撃の脅威を軽減できます。ノードのクライアント ネットワークが信頼されていない場合、ノードはロード バランサ エンドポイントとして明示的に設定されたポートのインバウンド接続だけを受け入れます。

例1:ゲートウェイ ノードがHTTPS S3要求のみを受け入れる

ゲートウェイ ノードで、クライアント ネットワーク上のHTTPS S3要求を除くすべてのインバウンド トラフィックを拒否するとします。この場合、次の手順を実行します。
  1. [Load Balancer Endpoints]ページで、ポート443にHTTPS経由のS3用のロード バランサ エンドポイントを設定します。
  2. [Untrusted Client Networks]ページで、ゲートウェイ ノードのクライアント ネットワークを信頼されていないネットワークとして指定します。
設定を保存すると、ポート443のHTTPS S3要求とICMPエコー(ping)要求を除き、ゲートウェイ ノードのクライアント ネットワーク上のすべてのインバウンド トラフィックが破棄されます。

例2:ストレージ ノードがS3プラットフォーム サービス要求を送信する

あるストレージ ノードからのアウトバウンドS3プラットフォーム サービス トラフィックは有効にするが、クライアント ネットワークのそのストレージ ノードへのインバウンド接続は禁止するとします。この場合、次の手順を実行します。
  • [Untrusted Client Networks]ページで、ストレージ ノードのクライアント ネットワークを信頼されていないネットワークとして指定します。
設定を保存すると、ストレージ ノードはクライアント ネットワークで受信トラフィックを受け入れなくなりますが、Amazon Web Servicesへのアウトバウンド要求は引き続き許可します。