管理不可信客户端网络

如果您使用的是客户端网络,则可以通过 StorageGRID 显式配置的端点上接受入站客户端流量来帮助保护 StorageGRID 免受恶意攻击。

默认情况下,每个网格节点上的客户端网络 都是可信的。也就是说,默认 StorageGRID 下, StorageGRID 会信任所有可用外部端口上与每个网格节点的入站连接(请参见部署安装说明中的外部通信)。

StorageGRID 您可以通过指定每个节点上的客户端网络 不可信来减少 StorageGRID 系统受到恶意攻击的威胁。如果节点的客户端网络不可信,则节点仅接受显式配置为负载平衡器端点的端口上的入站连接。

示例 1 :网关节点仅接受 HTTPS S3 请求

假设您希望网关节点拒绝客户端网络上除 HTTPS S3 请求以外的所有入站流量。您应执行以下常规步骤:
  1. 在负载平衡器端点页面中,通过 HTTPS 在端口 443 上为 S3 配置负载平衡器端点。
  2. 在不可信客户端网络页面中,指定网关节点上的客户端网络不可信。
保存配置后,网关节点客户端网络上的所有入站流量都会被丢弃,但端口 443 上的 HTTPS S3 请求和 ICMP 回显( ping )请求除外。

示例 2 :存储节点发送 S3 平台服务请求

假设您要从存储节点启用出站 S3 平台服务流量,但要阻止与客户端网络上的该存储节点建立任何入站连接。您应执行此常规步骤:
  • 在不可信客户端网络页面中,指示存储节点上的客户端网络不可信。
保存配置后,存储节点将不再接受客户端网络上的任何传入流量,但它仍允许向 Amazon Web Services 发出出站请求。