数据访问安全功能
了解StorageGRID中的数据访问安全功能。
功能 | 功能 | 影响 | 合规性 |
---|---|---|---|
可配置传输层安全(TLS) |
TLS会为客户端与StorageGRID网关节点、存储节点或负载平衡器端点之间的通信建立握手协议。 StorageGRID支持以下TLS密码套件:
支持TLS v1.2和1.3。 不再支持SSLv3、TLS v1.1及更早版本。 |
使客户端和StorageGRID能够相互识别和身份验证、并在保密和数据完整性的情况下进行通信。确保使用最新的TLS版本。现在、您可以在"配置/安全"设置下配置这些用户的用户 |
— |
可配置的服务器证书(负载平衡器端点) |
网格管理员可以将负载平衡器端点配置为生成或使用服务器证书。 |
允许使用由其标准可信证书颁发机构(Certificate Authority、CA)签名的数字证书、对每个负载平衡器端点的网格和客户端之间的对象API操作进行身份验证。 |
— |
可配置的服务器证书(API端点) |
网格管理员可以集中配置所有StorageGRID API端点、以使用由其组织的受信任CA签名的服务器证书。 |
允许使用由其标准可信CA签名的数字证书对客户端和网格之间的对象API操作进行身份验证。 |
— |
多租户 |
StorageGRID支持每个网格包含多个租户;每个租户都有自己的命名空间。租户提供S3协议;默认情况下、对分段/容器和对象的访问仅限于帐户中的用户。租户可以拥有一个用户(例如、一个企业部署、其中每个用户都有自己的帐户)或多个用户(例如、一个服务提供商部署、其中每个帐户都是服务提供商的一家公司和一个客户)。用户可以是本地用户、也可以是联合用户;联合用户由Active Directory或轻型目录访问协议(Lightweight-Directory Access Protocol、LDAP)定义。StorageGRID提供了一个按租户显示的信息板、用户可在其中使用其本地或联合帐户凭据登录。用户可以根据网格管理员分配的配额访问有关租户使用情况的可视化报告、包括分段存储的数据和对象中的使用情况信息。具有管理权限的用户可以执行租户级别的系统管理任务、例如管理用户和组以及访问密钥。 |
允许StorageGRID管理员托管来自多个租户的数据、同时隔离租户访问、并通过将用户与外部身份提供程序(如Active Directory或LDAP)联盟来建立用户身份。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
访问凭据的不可否认性 |
每个S3操作都使用唯一的租户帐户、用户和访问密钥进行标识和记录。 |
允许网格管理员确定由哪些个人执行哪些API操作。 |
— |
已禁用匿名访问 |
默认情况下、S3帐户禁用匿名访问。请求者必须拥有租户帐户中有效用户的有效访问凭据、才能访问帐户中的分段、容器或对象。可以使用显式IAM策略启用对S3存储分段或对象的匿名访问。 |
允许网格管理员禁用或控制对分段/容器和对象的匿名访问。 |
— |
合规性WORM |
旨在满足SEC规则17a-4 (f)的要求、并经过Cohasset验证。客户可以在存储分段级别实现合规性。保留期限可以延长、但绝不能减少。 信息生命周期管理(ILM)规则强制实施最低数据保护级别。 |
允许具有法规数据保留要求的租户对存储的对象和对象元数据启用WORM保护。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
WORm |
网格管理员可以通过启用禁用客户端修改选项来启用网格范围的WORM、此选项可防止客户端覆盖或删除所有租户帐户中的对象或对象元数据。 S3租户管理员还可以通过指定IAM策略按租户、存储分段或对象前缀启用WORM、此策略包括自定义的对象和元数据覆盖S3:PutOverwriteObject权限。 |
允许网格管理员和租户管理员控制对已存储对象和对象元数据的WORM保护。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
Kms主机服务器加密密钥管理 |
网格管理员可以在网格管理器中配置一个或多个外部密钥管理服务器(KMS)、以便为StorageGRID服务和存储设备提供加密密钥。每个KMS主机服务器或KMS主机服务器集群都使用密钥管理互操作性协议(Key Management互操作性协议、KMIP)为关联StorageGRID站点上的设备节点提供加密密钥。 |
实现空闲数据加密。对设备卷进行加密后、您将无法访问设备上的任何数据、除非节点可以与KMS主机服务器进行通信。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
自动故障转移 |
StorageGRID提供内置冗余和自动故障转移功能。即使从磁盘或节点到整个站点发生多个故障、也可以继续访问租户帐户、分段和对象。StorageGRID具有资源感知能力、可自动将请求重定向到可用节点和数据位置。StorageGRID站点甚至可以在隔离模式下运行;如果WAN中断使站点与系统的其余部分断开连接、则可以使用本地资源继续执行读取和写入操作、并在WAN还原后自动恢复复制。 |
支持网格管理员解决正常运行时间、SLA和其他合同义务问题、并实施业务连续性计划。 |
— |
特定于S3的数据访问安全功能 |
AWS签名版本2和版本4 |
对API请求签名可为S3 API操作提供身份验证。Amazon支持签名版本2和版本4的两个版本。签名过程可验证请求者的身份、保护传输中的数据并防止潜在的重放攻击。 |
符合AWS对签名版本4的建议、并支持与签名版本2中的旧应用程序向后兼容。 |
— |
S3 对象锁定 |
StorageGRID中的S3对象锁定功能是一种对象保护解决方案、相当于Amazon S3中的S3对象锁定。 |
允许租户在启用S3对象锁定的情况下创建分段、以符合要求将某些对象保留固定时间或无限期的法规要求。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
S3凭据的安全存储 |
S3访问密钥以受密码哈希功能(SHA-2)保护的格式存储。 |
通过组合使用密钥长度(1031随机生成的数字)和密码哈希算法来安全存储访问密钥。 |
— |
有时间限制的S3访问密钥 |
在为用户创建S3访问密钥时、客户可以设置访问密钥的到期日期和时间。 |
为网格管理员提供配置临时S3访问密钥的选项。 |
— |
每个用户帐户具有多个访问密钥 |
通过StorageGRID、可以为一个用户帐户创建多个访问密钥、并使其同时处于活动状态。由于每个API操作都使用租户用户帐户和访问密钥进行记录、因此、即使多个密钥处于活动状态、也会保留不可否认性。 |
使客户端能够无干扰地轮换访问密钥、并允许每个客户端都有自己的密钥、从而避免在客户端之间共享密钥。 |
— |
S3 IAM访问策略 |
StorageGRID支持S3 IAM策略、支持网格管理员按租户、分段或对象前缀指定精细访问控制。StorageGRID还支持IAM策略条件和变量、从而支持更动态的访问控制策略。 |
允许网格管理员按用户组为整个租户指定访问控制;还允许租户用户为自己的分段和对象指定访问控制。 |
— |
使用StorageGRID托管密钥(SSE)进行服务器端加密 |
StorageGRID支持SSE、可使用StorageGRID管理的加密密钥对空闲数据进行多租户保护。 |
允许租户对对象进行加密。要写入和检索这些对象、需要使用加密密钥。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
使用客户提供的加密密钥(SSE-C)进行服务器端加密 |
StorageGRID支持SSE-C、可使用客户端管理的加密密钥对空闲数据进行多租户保护。 虽然StorageGRID负责管理所有对象加密和解密操作、但使用SSE-C时、客户端必须自行管理加密密钥。 |
使客户端能够使用其控制的密钥对对象进行加密。要写入和检索这些对象、需要使用加密密钥。 |