Serverseitige Verschlüsselung

Online bearbeiten

Das Ceph Object Gateway unterstützt die serverseitige Verschlüsselung hochgeladener Objekte für die S3 -Anwendungsprogrammierschnittstelle (API). Die serverseitige Verschlüsselung bedeutet, dass der S3 -Client Daten in unverschlüsselter Form über HTTP sendet und der Ceph Object Gateway diese Daten in verschlüsselter Form im IBM Storage Ceph -Cluster speichert.

Wichtig:
  • Zur Verwendung der Verschlüsselung MÜSSEN Clientanforderungen Anforderungen über eine SSL-Verbindung senden. IBM unterstützt die S3 -Verschlüsselung von einem Client nur, wenn das Ceph Object Gateway SSL verwendet. Zu Testzwecken können Administratoren SSL jedoch während des Tests inaktivieren, indem sie die Konfigurationseinstellung rgw_crypt_require_ssl zur Laufzeit mit dem Befehl ceph config set client.rgw auf false setzen und dann die Ceph Object Gateway -Instanz erneut starten. In einer Produktionsumgebung ist es möglicherweise nicht möglich, verschlüsselte Anforderungen über SSL zu senden. In einem solchen Fall senden Sie Ihre Anfragen bitte über HTTP mit serverseitiger Verschlüsselung.
Hinweis:
  • IBM unterstützt NICHT die S3 -Objektverschlüsselung von statischen großen Objekten (Static Large Object, SLO) oder dynamischen großen Objekten (Dynamic Large Object, DLO).
  • Derzeit hat keiner der SSE-Modi (Server-Side Encryption) die Unterstützung für CopyObjectimplementiert.
Es gibt drei Optionen für die Verwaltung von Verschlüsselungsschlüsseln.
Vom Kunden bereitgestellte Schlüssel

Wenn Sie vom Kunden bereitgestellte Schlüssel verwenden, übergibt der S3 -Client einen Verschlüsselungsschlüssel zusammen mit jeder Anforderung zum Lesen oder Schreiben verschlüsselter Daten. Es liegt in der Verantwortung des Kunden, diese Schlüssel zu verwalten. Kunden müssen sich merken, welchen Schlüssel das Ceph Object Gateway zum Verschlüsseln jedes Objekts verwendet hat.

Ceph Object Gateway implementiert das vom Kunden bereitgestellte Schlüsselverhalten in der S3 -API gemäß der Amazon SSE-C-Spezifikation.

Da der Kunde das Schlüsselmanagement handhabt und der S3 -Client Schlüssel an das Ceph Object Gatewayübergibt, erfordert Ceph Object Gateway keine spezielle Konfiguration, um diesen Verschlüsselungsmodus zu unterstützen.

Schlüsselmanagementservice

Wenn Sie einen Schlüsselmanagementservice verwenden, speichert der sichere Schlüsselmanagementservice die Schlüssel und das Ceph Object Gateway ruft sie bei Bedarf ab, um Anforderungen zum Verschlüsseln oder Entschlüsseln von Daten zu bedienen.

Ceph Object Gateway implementiert das Verhalten des Schlüsselmanagementservice in der S3 -API gemäß der Amazon SSE-KMS-Spezifikation.

Wichtig: Derzeit sind die einzigen getesteten Schlüsselmanagementimplementierungen HashiCorp Vault und OpenStack Barbican. OpenStack Barbican ist jedoch eine Technologievorschau und wird nicht für die Verwendung in Produktionssystemen unterstützt.
SSE-S3

Wenn Sie SSE-S3verwenden, werden die Schlüssel in einer Vault gespeichert, aber von Ceph automatisch erstellt und gelöscht und nach Bedarf abgerufen, um Anforderungen zum Verschlüsseln oder Entschlüsseln von Daten zu bedienen.

Ceph Object Gateway implementiert das Verhalten SSE-S3 in der S3 -API gemäß der Amazon-Spezifikation SSE-S3 .

Weitere Informationen finden Sie unter Konfigurieren der serverseitigen Verschlüsselung und Verwenden von HashiCorp Vault.