本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

系統管理安全功能

07/03/2024 貢獻者

PDF

探索 StorageGRID 的管理安全功能。

功能	功能	影響	法規遵循
伺服器憑證（網格管理介面）	Grid 系統管理員可以設定 Grid Management Interface 使用組織信任 CA 簽署的伺服器憑證。	使用由標準信任 CA 簽署的數位憑證、驗證管理用戶端和網格之間的管理 UI 和 API 存取。	—
管理使用者驗證	系統管理使用者會使用使用者名稱和密碼進行驗證。系統管理使用者和群組可以是本機或同盟的、從客戶的 Active Directory 或 LDAP 匯入。本機帳戶密碼以受 bcrypt 保護的格式儲存；命令列密碼以 SHA-2 保護的格式儲存。	驗證管理 UI 和 API 的管理存取權。	—
SAML 支援	StorageGRID 支援使用安全聲明標記語言 2.0 （ SAML 2.0 ）標準的單一登入（ SSO ）。啟用SSO時、所有使用者必須先經過外部身分識別供應商的驗證、才能存取Grid Manager、租戶管理程式、Grid Management API或租戶管理API。本機使用者無法登入StorageGRID 到無法使用的功能。	為網格和租戶管理員提供更高層級的安全性、例如 SSO 和多因素驗證（ MFA ）。	NIST SP800-63
精細的權限控制	網格管理員可以將權限指派給角色、並將角色指派給管理使用者群組、以強制執行管理用戶端可以同時使用管理 UI 和 API 來執行的工作。	允許 Grid 管理員管理管理員使用者和群組的存取控制。	—
分散式稽核記錄	StorageGRID 提供內建的分散式稽核記錄基礎架構、可擴充至多達 16 個站台的數百個節點。StorageGRID 軟體節點會產生稽核訊息、這些訊息會透過備援稽核轉送系統傳輸、最後會擷取到一或多個稽核記錄儲存庫中。稽核訊息會擷取物件層級精細度的事件、例如用戶端啟動的 S3 API 作業、 ILM 的物件生命週期事件、背景物件健全狀況檢查、以及從管理 UI 或 API 所做的組態變更。稽核記錄可透過 CIFS 或 NFS 從管理節點匯出、讓 Splunk 和 elk 等工具能夠記錄稽核訊息。稽核訊息有四種類型：系統稽核訊息物件儲存稽核訊息 HTTP 傳輸協定稽核訊息管理稽核訊息	為 Grid 管理員提供經過實證且可擴充的稽核服務、讓他們能夠為各種目標挖掘稽核資料。這類目標包括疑難排解、稽核 SLA 效能、用戶端資料存取 API 作業、以及管理組態變更。	—
系統稽核	系統稽核訊息會擷取與系統相關的事件、例如網格節點狀態、毀損的物件偵測、根據 ILM 規則在所有指定位置提交的物件、以及全系統維護工作的進度（網格工作）。	協助客戶疑難排解系統問題、並提供依據其 SLA 儲存物件的證明。SLA 是由 StorageGRID ILM 規則實作、並受到完整性保護。	—
物件儲存稽核	物件儲存稽核訊息會擷取物件 API 交易和生命週期相關事件。這些事件包括物件儲存和擷取、網格節點對網格節點傳輸和驗證。	協助客戶透過系統稽核資料進度、以及是否提供指定為 StorageGRID ILM 的 SLA 。	—
HTTP 傳輸協定稽核	HTTP 傳輸協定稽核訊息會擷取與用戶端應用程式和 StorageGRID 節點相關的 HTTP 傳輸協定互動。此外、客戶可以擷取特定的 HTTP 要求標頭（例如 X 轉寄的 for 和使用者中繼資料 [x-amz-meta-*] ）進行稽核。	協助客戶稽核用戶端與 StorageGRID 之間的資料存取 API 作業、並追蹤個別使用者帳戶和存取金鑰的動作。客戶也可以將使用者中繼資料登入稽核、並使用 Splunk 或 elk 等記錄採礦工具來搜尋物件中繼資料。	—
管理稽核	管理稽核訊息會將管理使用者要求記錄到管理 UI （ Grid Management Interface ）或 API 。並非取得API或取得API要求的每個要求、都會以使用者名稱、IP和API要求類型來記錄回應。	協助 Grid 管理員建立系統組態變更記錄、記錄使用者在何時從哪個來源 IP 和目的地 IP 所做的變更。	—
TLS 1.3 支援管理 UI 和 API 存取	TLS 會為管理用戶端和 StorageGRID 管理節點之間的通訊建立信號交換傳輸協定。	可讓管理用戶端和 StorageGRID 識別及驗證彼此、並與機密性和資料完整性通訊。	—
StorageGRID 監控用的 SNMPv3	SNMPv3 同時提供強大的驗證和資料加密功能來保護隱私、進而提供安全性。在 v3 中、傳輸協定資料單元會使用 CBC-DES 進行加密、以用於加密傳輸協定。傳送傳輸協定資料單元的使用者驗證是由 HMAC-SHA 或 HMAC-MD5 驗證傳輸協定提供。仍支援 SNMPv2 和 v1 。	在管理節點上啟用 SNMP 代理程式、協助 Grid 管理員監控 StorageGRID 系統。	—
Prometheus計量匯出的用戶端憑證	網格管理員可以上傳或產生用戶端憑證、這些憑證可用於提供對 StorageGRID Prometheus 資料庫的安全、驗證存取。	網格管理員可以使用用戶端憑證、使用 Grafana 等應用程式從外部監控 StorageGRID 。	—

功能

影響

法規遵循

伺服器憑證（網格管理介面）

Grid 系統管理員可以設定 Grid Management Interface 使用組織信任 CA 簽署的伺服器憑證。

使用由標準信任 CA 簽署的數位憑證、驗證管理用戶端和網格之間的管理 UI 和 API 存取。

—

管理使用者驗證

系統管理使用者會使用使用者名稱和密碼進行驗證。系統管理使用者和群組可以是本機或同盟的、從客戶的 Active Directory 或 LDAP 匯入。本機帳戶密碼以受 bcrypt 保護的格式儲存；命令列密碼以 SHA-2 保護的格式儲存。

驗證管理 UI 和 API 的管理存取權。

—

SAML 支援

StorageGRID 支援使用安全聲明標記語言 2.0 （ SAML 2.0 ）標準的單一登入（ SSO ）。啟用SSO時、所有使用者必須先經過外部身分識別供應商的驗證、才能存取Grid Manager、租戶管理程式、Grid Management API或租戶管理API。本機使用者無法登入StorageGRID 到無法使用的功能。

為網格和租戶管理員提供更高層級的安全性、例如 SSO 和多因素驗證（ MFA ）。

NIST SP800-63

精細的權限控制

網格管理員可以將權限指派給角色、並將角色指派給管理使用者群組、以強制執行管理用戶端可以同時使用管理 UI 和 API 來執行的工作。

允許 Grid 管理員管理管理員使用者和群組的存取控制。

—

分散式稽核記錄

StorageGRID 提供內建的分散式稽核記錄基礎架構、可擴充至多達 16 個站台的數百個節點。StorageGRID 軟體節點會產生稽核訊息、這些訊息會透過備援稽核轉送系統傳輸、最後會擷取到一或多個稽核記錄儲存庫中。稽核訊息會擷取物件層級精細度的事件、例如用戶端啟動的 S3 API 作業、 ILM 的物件生命週期事件、背景物件健全狀況檢查、以及從管理 UI 或 API 所做的組態變更。

稽核記錄可透過 CIFS 或 NFS 從管理節點匯出、讓 Splunk 和 elk 等工具能夠記錄稽核訊息。稽核訊息有四種類型：

系統稽核訊息
物件儲存稽核訊息
HTTP 傳輸協定稽核訊息
管理稽核訊息

為 Grid 管理員提供經過實證且可擴充的稽核服務、讓他們能夠為各種目標挖掘稽核資料。這類目標包括疑難排解、稽核 SLA 效能、用戶端資料存取 API 作業、以及管理組態變更。

—

系統稽核

系統稽核訊息會擷取與系統相關的事件、例如網格節點狀態、毀損的物件偵測、根據 ILM 規則在所有指定位置提交的物件、以及全系統維護工作的進度（網格工作）。

協助客戶疑難排解系統問題、並提供依據其 SLA 儲存物件的證明。SLA 是由 StorageGRID ILM 規則實作、並受到完整性保護。

—

物件儲存稽核

物件儲存稽核訊息會擷取物件 API 交易和生命週期相關事件。這些事件包括物件儲存和擷取、網格節點對網格節點傳輸和驗證。

協助客戶透過系統稽核資料進度、以及是否提供指定為 StorageGRID ILM 的 SLA 。

—

HTTP 傳輸協定稽核

HTTP 傳輸協定稽核訊息會擷取與用戶端應用程式和 StorageGRID 節點相關的 HTTP 傳輸協定互動。此外、客戶可以擷取特定的 HTTP 要求標頭（例如 X 轉寄的 for 和使用者中繼資料 [x-amz-meta-*] ）進行稽核。

協助客戶稽核用戶端與 StorageGRID 之間的資料存取 API 作業、並追蹤個別使用者帳戶和存取金鑰的動作。客戶也可以將使用者中繼資料登入稽核、並使用 Splunk 或 elk 等記錄採礦工具來搜尋物件中繼資料。

—

管理稽核

管理稽核訊息會將管理使用者要求記錄到管理 UI （ Grid Management Interface ）或 API 。並非取得API或取得API要求的每個要求、都會以使用者名稱、IP和API要求類型來記錄回應。

協助 Grid 管理員建立系統組態變更記錄、記錄使用者在何時從哪個來源 IP 和目的地 IP 所做的變更。

—

TLS 1.3 支援管理 UI 和 API 存取

TLS 會為管理用戶端和 StorageGRID 管理節點之間的通訊建立信號交換傳輸協定。

可讓管理用戶端和 StorageGRID 識別及驗證彼此、並與機密性和資料完整性通訊。

—

StorageGRID 監控用的 SNMPv3

SNMPv3 同時提供強大的驗證和資料加密功能來保護隱私、進而提供安全性。在 v3 中、傳輸協定資料單元會使用 CBC-DES 進行加密、以用於加密傳輸協定。

傳送傳輸協定資料單元的使用者驗證是由 HMAC-SHA 或 HMAC-MD5 驗證傳輸協定提供。

仍支援 SNMPv2 和 v1 。

在管理節點上啟用 SNMP 代理程式、協助 Grid 管理員監控 StorageGRID 系統。

—

Prometheus計量匯出的用戶端憑證

網格管理員可以上傳或產生用戶端憑證、這些憑證可用於提供對 StorageGRID Prometheus 資料庫的安全、驗證存取。

網格管理員可以使用用戶端憑證、使用 Grafana 等應用程式從外部監控 StorageGRID 。

—

系統管理安全功能

Creating your file...