配置安全设置
建议更改
PDF
您可以从网格管理器配置各种安全设置,以帮助保护 StorageGRID 系统。
证书
StorageGRID 使用两种类型的安全证书:
-
使用 HTTPS 连接时需要服务器证书。服务器证书用于在客户端和服务器之间建立安全连接,向客户端验证服务器的身份并为数据提供安全通信路径。服务器和客户端都有一个证书副本。
-
客户端证书用于向服务器验证客户端或用户身份,从而提供比单独使用密码更安全的身份验证。客户端证书不会对数据进行加密。
您可以在 * 配置 * > * 安全性 * > * 证书 * 页面上查看所有 StorageGRID 证书。
密钥管理服务器
您可以配置一个或多个外部密钥管理服务器( KMS ),以便为 StorageGRID 服务和存储设备提供加密密钥。每个 KMS 或 KMS 集群都使用密钥管理互操作性协议( Key Management Interoperability Protocol , KMIP )为关联 StorageGRID 站点上的设备节点提供一个加密密钥。使用密钥管理服务器可以保护 StorageGRID 数据,即使设备已从数据中心中删除也是如此。对设备卷进行加密后,除非节点可以与 KMS 通信,否则无法访问设备上的任何数据。
|
要使用加密密钥管理,必须在安装期间为每个设备启用 * 节点加密 * 设置,然后才能将该设备添加到网格中。 |
代理设置
如果您使用的是 S3 平台服务或云存储池,则可以在存储节点和外部 S3 端点之间配置非透明代理服务器。如果使用 HTTPS 或 HTTP 发送 AutoSupport 消息,则可以在管理节点和技术支持之间配置非透明代理服务器。
不可信的客户端网络
如果您使用的是客户端网络,则可以通过指定每个节点上的客户端网络不可信来帮助保护 StorageGRID 免受恶意攻击。如果节点的客户端网络不可信,则节点仅接受显式配置为负载平衡器端点的端口上的入站连接。
例如,您可能希望网关节点拒绝客户端网络上除 HTTPS S3 请求之外的所有入站流量。或者,您可能希望启用来自存储节点的出站 S3 平台服务流量,同时防止客户端网络上与该存储节点的任何入站连接。