設定REST API的安全性
建議變更
PDF
您應該檢閱針對REST API實作的安全措施、並瞭解如何保護系統安全。
如何為REST API提供安全性StorageGRID
您應該瞭解StorageGRID 什麼是讓此系統為REST API實作安全性、驗證和授權。
使用下列安全措施。StorageGRID
-
如果已針對負載平衡器端點設定HTTPS、則用戶端與負載平衡器服務的通訊會使用HTTPS。
當您設定負載平衡器端點時、可以選擇啟用HTTP。例如、您可能想要使用HTTP進行測試或其他非正式作業用途。如StorageGRID 需詳細資訊、請參閱《關於管理功能的說明》。
-
根據預設StorageGRID 、使用HTTPS與儲存節點進行用戶端通訊、並在閘道節點上使用CLB服務。
您可以選擇性地為這些連線啟用HTTP。例如、您可能想要使用HTTP進行測試或其他非正式作業用途。如StorageGRID 需詳細資訊、請參閱《關於管理功能的說明》。
CLB服務已過時。 -
支援使用TLS加密支援不支援的客戶端與StorageGRID 之通訊。
-
無論負載平衡器端點是設定為接受HTTP或HTTPS連線、網格內負載平衡器服務與儲存節點之間的通訊都會加密。
-
用戶端必須提供HTTP驗證標頭StorageGRID 給才能執行REST API作業。
安全性憑證與用戶端應用程式
用戶端可連線至閘道節點或管理節點上的負載平衡器服務、直接連線至儲存節點、或連線至閘道節點上已過時的CLB服務。
在任何情況下、用戶端應用程式都可以使用網格管理員上傳的自訂伺服器憑證或StorageGRID 由該系統產生的憑證來建立TLS連線:
-
當用戶端應用程式連線至負載平衡器服務時、應用程式會使用針對用於建立連線的特定負載平衡器端點所設定的憑證來執行此作業。每個端點都有自己的憑證、可以是由網格管理員上傳的自訂伺服器憑證、也可以是網格管理員StorageGRID 在設定端點時產生的憑證。
-
當用戶端應用程式直接連線至儲存節點或閘道節點上的CLB服務時、它們會使用StorageGRID 安裝時(由系統憑證授權單位簽署)為儲存節點產生的系統產生伺服器憑證、 或是由網格管理員提供的單一自訂伺服器憑證。
用戶端應設定為信任已簽署其用於建立TLS連線之任何憑證的憑證授權單位。
如StorageGRID 需設定負載平衡器端點的相關資訊、以及新增單一自訂伺服器憑證以供TLS連線直接連線至儲存節點或閘道節點上的CLB服務的相關指示、請參閱《for Administering》(管理功能)。
摘要
下表顯示S3和Swift REST API如何實作安全性問題:
| 安全問題 | REST API的實作 |
|---|---|
連線安全性 |
TLS |
伺服器驗證 |
由系統CA或系統管理員提供的自訂伺服器憑證簽署的X.509伺服器憑證 |
用戶端驗證 |
|
用戶端授權 |
|
TLS程式庫支援的雜湊和加密演算法
支援一套有限的加密套件、用戶端應用程式可在建立傳輸層安全性(TLS)工作階段時使用。StorageGRID
支援的TLS版本
支援TLS 1.2和TLS 1.3。StorageGRID
|
不再支援SSLv3和TLS 1.1(或更早版本)。 |
支援的加密套件
| TLS版本 | 加密套件的IANA名稱 |
|---|---|
1.2 |
TLS_ECDHE_RSA_with _AES-256_GCM_SHA384 |
TLS_ECDHE_RSA_with _CHACHA20_POLY1305_SHA256 |
TLS_ECDHE_RSA_with _AES-122_GCM_SHA256 |
1.3 |
TLS_AES-256_GCM_SHA384 |
TLS_CHACHA20_POLY1305_SHA256 |
TLS_AES-128_GCM_SHA256 |
已過時的加密套件
下列加密套件已過時。未來版本將會移除對這些密碼的支援。
| IANA名稱 |
|---|
TLS_RSA_AT_AES-122_GCM_SHA256 |
TLS_RSA_AT_AES-256_GCM_SHA384 |