本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

資料存取安全功能

07/03/2024 貢獻者

PDF

瞭解 StorageGRID 的資料存取安全功能。

功能	功能	影響	法規遵循
可設定的傳輸層安全性（ TLS ）	TLS 會為用戶端與 StorageGRID 閘道節點、儲存節點或負載平衡器端點之間的通訊建立信號交換傳輸協定。 StorageGRID 支援下列 TLS 加密套件： TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 TLS_AES_256_GCM_SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 AES256-GCM-SHA384 AES128-GCM-SHA256 TLS_CHACHA20_POLY1305_SHA256 ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305 支援 TLS v1.2 與 1.3 。不再支援 SSLv3 、 TLS v1.1 及更早版本。	讓用戶端和 StorageGRID 能夠識別和驗證彼此、並與機密性和資料完整性進行通訊。確保使用最新的 TLS 版本。密碼現在可在組態 / 安全性設定下進行設定	—
可設定的伺服器憑證（負載平衡器端點）	網格管理員可以設定負載平衡器端點來產生或使用伺服器憑證。	可讓使用由其標準信任憑證授權單位（ CA ）簽署的數位憑證、針對每個負載平衡器端點、在網格和用戶端之間驗證物件 API 作業。	—
可設定的伺服器憑證（ API 端點）	網格管理員可以集中設定所有 StorageGRID API 端點、以使用組織信任 CA 簽署的伺服器憑證。	啟用使用由標準信任 CA 簽署的數位憑證、以驗證用戶端與網格之間的物件 API 作業。	—
多租戶	StorageGRID 每個網格都支援多個租戶、每個租戶都有自己的命名空間。租戶提供 S3 傳輸協定；根據預設、只有帳戶內的使用者才能存取貯體 / 容器和物件。租戶可以有一位使用者（例如、每位使用者都有自己的帳戶的企業部署）或多位使用者（例如、服務供應商部署、其中每個帳戶都是公司和服務供應商的客戶）。使用者可以是本機或同盟使用者；同盟使用者是由 Active Directory 或輕量型目錄存取通訊協定（ LDAP ）所定義。StorageGRID 提供個別租戶儀表板、讓使用者使用其本機或同盟帳戶認證登入。使用者可以根據網格管理員指派的配額、存取租戶使用量的視覺化報告、包括儲存於儲存區的資料和物件中的使用資訊。具有管理權限的使用者可以執行租戶層級的系統管理工作、例如管理使用者、群組和存取金鑰。	可讓 StorageGRID 管理員在隔離租戶存取的同時、託管來自多個租戶的資料、並透過與外部身分識別提供者（例如 Active Directory 或 LDAP ）聯合使用者來建立使用者身分識別。	SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)
存取認證的不可否認性	每個 S3 作業都會以唯一的租戶帳戶、使用者和存取金鑰來識別和記錄。	允許 Grid 系統管理員建立哪些個人執行哪些 API 動作。	—
停用匿名存取	根據預設、 S3 帳戶的匿名存取已停用。要求者必須擁有有效的存取認證、才能存取帳戶中的貯體、容器或物件。可以使用明確的 IAM 原則來啟用對 S3 儲存區或物件的匿名存取。	允許 Grid 管理員停用或控制對貯體 / 容器和物件的匿名存取。	—
法規遵循 WORM	專為符合 SEC 法規 17a-4(f) 的要求而設計、並由 Cohasset 驗證。客戶可以在貯體層級實現法規遵循。保留可延長、但絕不會減少。資訊生命週期管理（ ILM ）規則可強制執行最低的資料保護層級。	允許具有法規資料保留要求的租戶、在儲存的物件和物件中繼資料上啟用 WORM 保護。	SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)
WORM	網格管理員可啟用「停用用戶端修改」選項、以啟用全網格 WORM 、避免用戶端覆寫或刪除所有租戶帳戶中的物件或物件中繼資料。 S3 租戶管理員也可以透過指定 IAM 原則、依租戶、貯體或物件首碼來啟用 WORM 、其中包括自訂 S3 ：物件和中繼資料覆寫的 PutOverwriteObject 權限。	允許 Grid 管理員和租戶管理員控制儲存物件和物件中繼資料上的 WORM 保護。	SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)
KMS 主機伺服器加密金鑰管理	網格管理員可以在網格管理程式中設定一或多個外部金鑰管理伺服器（ KMS ）、為 StorageGRID 服務和儲存設備提供加密金鑰。每個 KMS 主機伺服器或 KMS 主機伺服器叢集都使用金鑰管理互通性通訊協定（ KMIP ）、為相關 StorageGRID 站台的應用裝置節點提供加密金鑰。	資料靜止加密已完成。應用裝置磁碟區加密後、除非節點可以與 KMS 主機伺服器通訊、否則您無法存取應用裝置上的任何資料。	SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)
自動容錯移轉	StorageGRID 提供內建的備援功能和自動容錯移轉功能。即使有多個故障、從磁碟或節點到整個站台、仍可繼續存取租戶帳戶、貯體和物件。StorageGRID 可識別資源、並自動將要求重新導向至可用的節點和資料位置。StorageGRID 站台甚至可以在著陸模式下運作；如果 WAN 中斷會中斷站台與系統其餘部分的連線、則讀取和寫入作業可以繼續使用本機資源、並在 WAN 恢復時自動恢復複寫作業。	讓 Grid 管理員能夠處理正常運作時間、 SLA 及其他合約義務、並實作業務持續性計畫。	—
S3 特有的資料存取安全功能 *	AWS 簽名第 2 版和第 4 版	簽署 API 要求可為 S3 API 作業提供驗證。Amazon 支援兩個版本的簽名版本 2 和版本 4 。簽署程序會驗證要求者的身分、保護傳輸中的資料、並防範可能的重播攻擊。	符合 AWS 對簽名版本 4 的建議、並可與舊版應用程式與簽名版本 2 向下相容。
—	S3物件鎖定	StorageGRID 中的 S3 物件鎖定功能是一種物件保護解決方案、相當於 Amazon S3 中的 S3 物件鎖定。	允許租戶建立啟用 S3 物件鎖定的貯體、以符合規定、要求特定物件保留一段固定時間或無限期。
SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)	S3 認證的安全儲存	S3 存取金鑰是以受密碼雜湊功能（ SHA-2 ）保護的格式儲存。	結合金鑰長度（ 10³¹ 隨機產生的數字）和密碼雜湊演算法、可安全儲存存取金鑰。
—	有時間限制的 S3 存取金鑰	為使用者建立 S3 存取金鑰時、客戶可以設定存取金鑰的到期日和時間。	讓 Grid 系統管理員可以選擇配置暫存 S3 存取金鑰。
—	每個使用者帳戶有多個存取金鑰	StorageGRID 可為使用者帳戶建立多個存取金鑰、並同時啟用多個存取金鑰。由於每個 API 動作都會以租戶使用者帳戶和存取金鑰記錄、因此即使多個金鑰處於作用中狀態、仍會保留不可否認性。	讓用戶端能夠不中斷地旋轉存取金鑰、並讓每個用戶端都擁有自己的金鑰、從而阻止用戶端之間的金鑰共用。
—	S3 IAM 存取原則	StorageGRID 支援 S3 IAM 原則、可讓 Grid 管理員依租戶、貯體或物件首碼指定精細的存取控制。StorageGRID 也支援 IAM 原則條件和變數、允許更多動態存取控制原則。	允許 Grid 系統管理員依整個租戶的使用者群組指定存取控制、也可讓租戶使用者指定自己的貯體和物件的存取控制。
—	使用 StorageGRID 託管金鑰（ SSE ）進行伺服器端加密	StorageGRID 支援 SSE 、可透過 StorageGRID 管理的加密金鑰、為靜止的資料提供多租戶保護。	可讓租戶加密物件。寫入和擷取這些物件需要加密金鑰。
SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)	使用客戶提供的加密金鑰（ SSE-C ）進行伺服器端加密	StorageGRID 支援 SSE-C 、可透過用戶端管理的加密金鑰、為靜止的資料提供多租戶保護。雖然 StorageGRID 管理所有物件加密和解密作業、但使用 SSE-C 時、用戶端必須自行管理加密金鑰。	可讓用戶端使用其控制的金鑰來加密物件。寫入和擷取這些物件需要加密金鑰。

功能

影響

法規遵循

可設定的傳輸層安全性（ TLS ）

TLS 會為用戶端與 StorageGRID 閘道節點、儲存節點或負載平衡器端點之間的通訊建立信號交換傳輸協定。

StorageGRID 支援下列 TLS 加密套件：

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
TLS_AES_256_GCM_SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-GCM-SHA384
AES256-GCM-SHA384
AES128-GCM-SHA256
TLS_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-CHACHA20-POLY1305

支援 TLS v1.2 與 1.3 。

不再支援 SSLv3 、 TLS v1.1 及更早版本。

讓用戶端和 StorageGRID 能夠識別和驗證彼此、並與機密性和資料完整性進行通訊。確保使用最新的 TLS 版本。密碼現在可在組態 / 安全性設定下進行設定

—

可設定的伺服器憑證（負載平衡器端點）

網格管理員可以設定負載平衡器端點來產生或使用伺服器憑證。

可讓使用由其標準信任憑證授權單位（ CA ）簽署的數位憑證、針對每個負載平衡器端點、在網格和用戶端之間驗證物件 API 作業。

—

可設定的伺服器憑證（ API 端點）

網格管理員可以集中設定所有 StorageGRID API 端點、以使用組織信任 CA 簽署的伺服器憑證。

啟用使用由標準信任 CA 簽署的數位憑證、以驗證用戶端與網格之間的物件 API 作業。

—

多租戶

StorageGRID 每個網格都支援多個租戶、每個租戶都有自己的命名空間。租戶提供 S3 傳輸協定；根據預設、只有帳戶內的使用者才能存取貯體 / 容器和物件。租戶可以有一位使用者（例如、每位使用者都有自己的帳戶的企業部署）或多位使用者（例如、服務供應商部署、其中每個帳戶都是公司和服務供應商的客戶）。使用者可以是本機或同盟使用者；同盟使用者是由 Active Directory 或輕量型目錄存取通訊協定（ LDAP ）所定義。StorageGRID 提供個別租戶儀表板、讓使用者使用其本機或同盟帳戶認證登入。使用者可以根據網格管理員指派的配額、存取租戶使用量的視覺化報告、包括儲存於儲存區的資料和物件中的使用資訊。具有管理權限的使用者可以執行租戶層級的系統管理工作、例如管理使用者、群組和存取金鑰。

可讓 StorageGRID 管理員在隔離租戶存取的同時、託管來自多個租戶的資料、並透過與外部身分識別提供者（例如 Active Directory 或 LDAP ）聯合使用者來建立使用者身分識別。

SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)

存取認證的不可否認性

每個 S3 作業都會以唯一的租戶帳戶、使用者和存取金鑰來識別和記錄。

允許 Grid 系統管理員建立哪些個人執行哪些 API 動作。

—

停用匿名存取

根據預設、 S3 帳戶的匿名存取已停用。要求者必須擁有有效的存取認證、才能存取帳戶中的貯體、容器或物件。可以使用明確的 IAM 原則來啟用對 S3 儲存區或物件的匿名存取。

允許 Grid 管理員停用或控制對貯體 / 容器和物件的匿名存取。

—

法規遵循 WORM

專為符合 SEC 法規 17a-4(f) 的要求而設計、並由 Cohasset 驗證。客戶可以在貯體層級實現法規遵循。保留可延長、但絕不會減少。資訊生命週期管理（ ILM ）規則可強制執行最低的資料保護層級。

允許具有法規資料保留要求的租戶、在儲存的物件和物件中繼資料上啟用 WORM 保護。

SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)

WORM

網格管理員可啟用「停用用戶端修改」選項、以啟用全網格 WORM 、避免用戶端覆寫或刪除所有租戶帳戶中的物件或物件中繼資料。

S3 租戶管理員也可以透過指定 IAM 原則、依租戶、貯體或物件首碼來啟用 WORM 、其中包括自訂 S3 ：物件和中繼資料覆寫的 PutOverwriteObject 權限。

允許 Grid 管理員和租戶管理員控制儲存物件和物件中繼資料上的 WORM 保護。

SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)

KMS 主機伺服器加密金鑰管理

網格管理員可以在網格管理程式中設定一或多個外部金鑰管理伺服器（ KMS ）、為 StorageGRID 服務和儲存設備提供加密金鑰。每個 KMS 主機伺服器或 KMS 主機伺服器叢集都使用金鑰管理互通性通訊協定（ KMIP ）、為相關 StorageGRID 站台的應用裝置節點提供加密金鑰。

資料靜止加密已完成。應用裝置磁碟區加密後、除非節點可以與 KMS 主機伺服器通訊、否則您無法存取應用裝置上的任何資料。

SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)

自動容錯移轉

StorageGRID 提供內建的備援功能和自動容錯移轉功能。即使有多個故障、從磁碟或節點到整個站台、仍可繼續存取租戶帳戶、貯體和物件。StorageGRID 可識別資源、並自動將要求重新導向至可用的節點和資料位置。StorageGRID 站台甚至可以在著陸模式下運作；如果 WAN 中斷會中斷站台與系統其餘部分的連線、則讀取和寫入作業可以繼續使用本機資源、並在 WAN 恢復時自動恢復複寫作業。

讓 Grid 管理員能夠處理正常運作時間、 SLA 及其他合約義務、並實作業務持續性計畫。

—

S3 特有的資料存取安全功能 *

AWS 簽名第 2 版和第 4 版

簽署 API 要求可為 S3 API 作業提供驗證。Amazon 支援兩個版本的簽名版本 2 和版本 4 。簽署程序會驗證要求者的身分、保護傳輸中的資料、並防範可能的重播攻擊。

符合 AWS 對簽名版本 4 的建議、並可與舊版應用程式與簽名版本 2 向下相容。

—

S3物件鎖定

StorageGRID 中的 S3 物件鎖定功能是一種物件保護解決方案、相當於 Amazon S3 中的 S3 物件鎖定。

允許租戶建立啟用 S3 物件鎖定的貯體、以符合規定、要求特定物件保留一段固定時間或無限期。

SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)

S3 認證的安全儲存

S3 存取金鑰是以受密碼雜湊功能（ SHA-2 ）保護的格式儲存。

結合金鑰長度（ 10³¹ 隨機產生的數字）和密碼雜湊演算法、可安全儲存存取金鑰。

—

有時間限制的 S3 存取金鑰

為使用者建立 S3 存取金鑰時、客戶可以設定存取金鑰的到期日和時間。

讓 Grid 系統管理員可以選擇配置暫存 S3 存取金鑰。

—

每個使用者帳戶有多個存取金鑰

StorageGRID 可為使用者帳戶建立多個存取金鑰、並同時啟用多個存取金鑰。由於每個 API 動作都會以租戶使用者帳戶和存取金鑰記錄、因此即使多個金鑰處於作用中狀態、仍會保留不可否認性。

讓用戶端能夠不中斷地旋轉存取金鑰、並讓每個用戶端都擁有自己的金鑰、從而阻止用戶端之間的金鑰共用。

—

S3 IAM 存取原則

StorageGRID 支援 S3 IAM 原則、可讓 Grid 管理員依租戶、貯體或物件首碼指定精細的存取控制。StorageGRID 也支援 IAM 原則條件和變數、允許更多動態存取控制原則。

允許 Grid 系統管理員依整個租戶的使用者群組指定存取控制、也可讓租戶使用者指定自己的貯體和物件的存取控制。

—

使用 StorageGRID 託管金鑰（ SSE ）進行伺服器端加密

StorageGRID 支援 SSE 、可透過 StorageGRID 管理的加密金鑰、為靜止的資料提供多租戶保護。

可讓租戶加密物件。寫入和擷取這些物件需要加密金鑰。

SEC 規則 17a-4(f) CTFC 1.31(c) - （ d ）（ FINRA ）規則 4511(c)

使用客戶提供的加密金鑰（ SSE-C ）進行伺服器端加密

StorageGRID 支援 SSE-C 、可透過用戶端管理的加密金鑰、為靜止的資料提供多租戶保護。

雖然 StorageGRID 管理所有物件加密和解密作業、但使用 SSE-C 時、用戶端必須自行管理加密金鑰。

可讓用戶端使用其控制的金鑰來加密物件。寫入和擷取這些物件需要加密金鑰。

資料存取安全功能

Creating your file...