经验证的第三方解决方案
平台安全功能
建议更改
PDF
了解StorageGRID中的平台安全功能。
| 功能 | 功能 | 影响 | 合规性 |
|---|---|---|---|
内部公共密钥基础架构(PKI)、节点证书和TLS |
StorageGRID使用内部PKI和节点证书对节点间通信进行身份验证和加密。节点间通信受TLS保护。 |
有助于保护LAN或WAN上的系统流量、尤其是在多站点部署中。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
节点防火墙 |
StorageGRID会自动配置IP表和防火墙规则、以控制传入和传出网络流量、并关闭未使用的端口。 |
帮助保护StorageGRID系统、数据和元数据免受未经请求的网络流量的影响。 |
— |
OS强化 |
StorageGRID物理设备和虚拟节点的基本操作系统得到了强化;不相关的软件包将被删除。 |
有助于最大限度地减少潜在攻击面。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
定期更新平台和软件 |
StorageGRID提供常规软件版本、其中包括操作系统、应用程序二进制文件和软件更新。 |
有助于使用最新的软件和应用程序二进制文件保持StorageGRID系统最新。 |
— |
已禁用通过安全Shell (SSH)进行root登录 |
已在所有StorageGRID节点上禁用通过SSH进行root登录。SSH访问使用证书身份验证。 |
帮助客户防止root登录的潜在远程密码破解。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
自动时间同步 |
StorageGRID会自动将每个节点的系统时钟与多个外部时间网络时间协议(NTP)服务器同步。至少需要四个Stratum 3或更高版本的NTP服务器。 |
确保所有节点的时间参考相同。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
为客户端、管理和内部网格流量分隔网络 |
StorageGRID软件节点和硬件设备支持多个虚拟和物理网络接口、因此客户可以通过不同的网络隔离客户端、管理和内部网格流量。 |
允许网格管理员隔离内部和外部网络流量、并通过具有不同SLA的网络交付流量。 |
— |
多个虚拟LAN (VLAN)接口 |
StorageGRID支持在StorageGRID客户端和网格网络上配置VLAN接口。 |
网格管理员可以对应用程序流量进行分区和隔离、以提高安全性、灵活性和性能。 |
|
不可信客户端网络 |
不可信客户端网络接口仅接受已显式配置为负载平衡器端点的端口上的入站连接。 |
确保暴露给不可信网络的接口安全。 |
— |
可配置防火墙 |
管理管理管理、网格和客户端网络的开放和关闭端口。 |
允许网格管理员控制端口访问、并管理经过批准的设备对端口的访问。 |
|
增强的SSH行为 |
将节点升级到StorageGRID 11.5时、系统会生成新的SSH主机证书和主机密钥。 |
增强中间人攻击防护。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |
节点加密 |
作为新的KMS主机服务器加密功能的一部分、StorageGRID设备安装程序会添加一个新的节点加密设置。 |
必须在设备安装的硬件配置阶段启用此设置。 |
SEC规则17a-4 (f) CTFC 1.31 (c)-(d)(FIRA)规则4511 (c) |