Skip to main content
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

強化有關節點的準則StorageGRID

貢獻者

可在VMware虛擬機器、Linux主機上的Docker容器內或專屬硬體應用裝置上部署支援節點StorageGRID 。每種類型的平台和每種類型的節點都有自己的強化最佳實務做法。

防火牆組態

在系統強化程序中、您必須檢閱外部防火牆組態並加以修改、以便只接受來自IP位址和嚴格需要的連接埠的流量。

在VMware平台和StorageGRID VMware應用裝置上執行的節點使用自動管理的內部防火牆。雖然此內部防火牆提供額外的保護層來抵禦某些常見的威脅、但它並不免除外部防火牆的需求。

如需StorageGRID 所有供列舉的內部和外部連接埠清單、請參閱適用於您平台的安裝指南。

虛擬化、容器和共享硬體

對於所有StorageGRID 的物件節點、請避免在StorageGRID 不受信任的軟體所在的實體硬體上執行不可靠的功能。如果StorageGRID 實體硬體上同時存在著不受保護的物件和惡意軟體、請勿假設Hypervisor保護功能可防止惡意軟體存取受StorageGRID保護的資料。例如、Meltdown和Spetter攻擊會利用現代處理器的重大弱點、讓程式在同一部電腦的記憶體中竊取資料。

停用未使用的服務

對於所有StorageGRID 的支援節點、您應該停用或封鎖未使用服務的存取。例如、如果您不打算設定用戶端存取CIFS或NFS的稽核共用、請封鎖或停用這些服務的存取。

在安裝期間保護節點

安裝節點時、請勿允許不受信任的使用者透過StorageGRID 網路存取節點。節點必須先加入網格、才會完全安全無虞。

管理節點準則

管理節點提供系統組態、監控及記錄等管理服務。當您登入Grid Manager或租戶管理程式時、即連線至管理節點。

請遵循以下準則、將管理節點安全地存放在StorageGRID 您的一套系統上:

  • 保護不受信任用戶端(例如開放式網際網路上的用戶端)的所有管理節點。確保任何不受信任的用戶端都無法存取Grid Network、管理網路或用戶端網路上的任何管理節點。

  • 可控制Grid Manager和Tenant Manager功能的存取權限。StorageGRID授予每個使用者群組其角色所需的最低權限、並使用唯讀存取模式來防止使用者變更組態。

  • 使用StorageGRID 動態負載平衡器端點時、請針對不受信任的用戶端流量、使用閘道節點而非管理節點。

  • 如果您有不受信任的租戶、請勿讓他們直接存取租戶管理程式或租戶管理API。而是讓任何不受信任的租戶使用與租戶管理API互動的租戶入口網站或外部租戶管理系統。

  • 您也可以選擇使用管理Proxy、以更有效地控制AutoSupport 從管理節點到NetApp支援的各項功能通訊。如需管理StorageGRID 功能的說明、請參閱建立管理Proxy的步驟。

  • 您也可以選擇使用受限的843和9443連接埠來分隔Grid Manager和Tenant Manager通訊。封鎖共享連接埠443、並將租戶要求限制為連接埠9443以提供額外保護。

  • 您也可以為網格管理員和租戶使用者使用個別的管理節點。

如需詳細資訊、請參閱《關於管理StorageGRID 功能的說明》。

儲存節點準則

儲存節點可管理及儲存物件資料和中繼資料。請遵循以下準則、將儲存節點固定在StorageGRID 您的一套系統上。

  • 請勿為不受信任的租戶啟用傳出服務。例如、為不受信任的租戶建立帳戶時、請勿允許租戶使用自己的身分識別來源、也不允許使用平台服務。請參閱管理StorageGRID 功能介紹中的建立租戶帳戶步驟。

  • 針對不受信任的用戶端流量使用協力廠商負載平衡器。第三方負載平衡可提供更多控制能力、並提供額外的層級保護、防止攻擊。

  • 您也可以選擇使用儲存Proxy、以更有效地控制從儲存節點到外部服務的雲端儲存資源池及平台服務通訊。如需管理StorageGRID 功能的說明、請參閱建立儲存Proxy的步驟。

  • 您也可以選擇使用用戶端網路連線至外部服務。然後選擇*組態*>*網路設定*>*不受信任的用戶端網路*、並指出儲存節點上的用戶端網路不受信任。儲存節點不再接受用戶端網路上的任何傳入流量、而是繼續允許平台服務的傳出要求。

閘道節點準則

閘道節點提供選用的負載平衡介面、用戶端應用程式可用來連接StorageGRID 到VMware。請遵循下列準則、保護StorageGRID 您的整個作業系統中的任何閘道節點:

  • 在閘道節點上設定及使用負載平衡器端點、而非使用CLB服務。請參閱《管理StorageGRID VMware知識》中的管理負載平衡步驟。

    註 CLB服務已過時。
  • 對於不受信任的用戶端流量、請在用戶端與閘道節點或儲存節點之間使用協力廠商負載平衡器。第三方負載平衡可提供更多控制能力、並提供額外的層級保護、防止攻擊。如果您確實使用協力廠商負載平衡器、網路流量仍可選擇性地設定為透過內部負載平衡器端點、或直接傳送至儲存節點。

  • 如果您使用負載平衡器端點、可選擇讓用戶端透過用戶端網路連線。然後選取*組態*>*網路設定*>*不受信任的用戶端網路*、並指出閘道節點上的用戶端網路不受信任。閘道節點僅接受明確設定為負載平衡器端點之連接埠上的傳入流量。

硬體應用裝置節點準則

用作作業系統的各種硬體應用。StorageGRID StorageGRID有些應用裝置可做為儲存節點。其他應用裝置可做為管理節點或閘道節點。您可以將應用裝置節點與軟體型節點結合使用、或是部署設計完善的全應用裝置網格。

請遵循下列準則、確保StorageGRID 您的整個作業系統中的任何硬體應用裝置節點安全無虞:

  • 如果應用SANtricity 程式使用NetApp系統管理程式來管理儲存控制器、請避免不受信任的用戶端SANtricity 透過網路存取《系統管理程式》。

  • 如果應用裝置有基板管理控制器(BMC)、請注意BMC管理連接埠允許低階硬體存取。僅將BMC管理連接埠連接至安全、受信任的內部管理網路。如果沒有此類網路可用、請將BMC管理連接埠保持未連線或封鎖狀態、除非技術支援部門要求BMC連線。

  • 如果應用裝置使用智慧型平台管理介面(IPMI)標準、支援透過乙太網路遠端管理控制器硬體、請封鎖連接埠623上不受信任的流量。

  • 如果應用裝置中的儲存控制器包含FDE或FIPS磁碟機、且已啟用磁碟機安全功能、請使用SANtricity 支援功能來設定磁碟機安全金鑰。

  • 對於沒有FDE或FIPS磁碟機的設備、請使用金鑰管理伺服器(KMS)啟用節點加密。

請參閱StorageGRID 您的不支援硬體應用裝置的安裝與維護說明。