5.4.7. Ceph 사용자 관리 제한 사항

wget 프로토콜은 Ceph 클라이언트 및 서버를 서로 인증합니다. 이는 사용자를 대신하여 실행되는 사람 또는 애플리케이션의 인증을 처리하기 위한 것이 아닙니다. 액세스 제어 요구 사항을 처리하는 데 이 효과가 필요한 경우 Ceph 오브젝트 저장소에 액세스하는 데 사용되는 프론트 엔드에 특정되는 다른 메커니즘이 있어야 합니다. 이 다른 메커니즘은 허용 가능한 사용자 및 프로그램만 Ceph가 오브젝트 저장소에 액세스할 수 있는 시스템에서 실행할 수 있도록 하는 역할을 합니다.

Ceph 클라이언트 및 서버를 인증하는 데 사용되는 키는 일반적으로 신뢰할 수 있는 호스트에서 적절한 권한이 있는 일반 텍스트 파일에 저장됩니다.

특히 임의의 사용자 시스템(특히 이식 가능한 시스템)은 Ceph와 직접 상호 작용하도록 구성해서는 안 됩니다. 이 사용 모드에서는 안전하지 않은 시스템에서 일반 텍스트 인증 키를 저장해야 합니다. 해당 시스템을 중단하거나 이에 대한 액세스 권한을 얻은 모든 사람이 자신의 시스템을 Ceph에 인증할 수 있는 키를 얻을 수 있습니다.

잠재적으로 안전하지 않은 시스템이 Ceph 오브젝트 저장소에 직접 액세스할 수 있도록 허용하는 대신 사용자는 목적에 충분한 보안을 제공하는 방법을 사용하여 환경에서 신뢰할 수 있는 시스템에 로그인해야 합니다. 이 신뢰할 수 있는 머신은 사용자에게 일반 텍스트 Ceph 키를 저장합니다. 향후 Ceph 버전에서는 이러한 특정 인증 문제를 보다 완벽하게 해결할 수 있습니다.

현재 Ceph 인증 프로토콜 중 어느 것도 전송 중인 메시지에 대한 비밀성을 제공하지 않습니다. 따라서 전선의 도청(eavesdropper)은 이를 생성하거나 변경할 수 없는 경우에도 Ceph의 클라이언트와 서버 간에 전송되는 모든 데이터를 수신하고 이해할 수 있습니다. Ceph에 중요한 데이터를 저장하는 사용자는 데이터를 Ceph 시스템에 제공하기 전에 암호화해야 합니다.

예를 들어 Ceph Object Gateway는 Ceph Storage 클러스터에 저장하기 전에 Ceph Object Gateway 클라이언트에서 수신한 암호화되지 않은 데이터를 암호화하고 클라이언트에 다시 보내기 전에 Ceph Storage 클러스터에서 검색한 데이터를 유사하게 해독하는 S3 API 서버 측 암호화를 제공합니다. 클라이언트와 Ceph Object Gateway 간 전송 중 암호화를 확인하려면 SSL을 사용하도록 Ceph Object Gateway를 구성해야 합니다.