Data: 28/07/23
Autores:
Implementação de MFA (Autenticação de Fator Múltiplo) em um Bucket do Ceph Storage e suas Vantagens
O objetivo deste estudo é fornecer um guia documentado para a implementação de MFA em um Bucket do Ceph Storage, demonstrando os passos necessários para habilitar essa funcionalidade e ressaltando suas vantagens em termos de segurança de dados no ambiente da SETIC.
A segurança dos dados é um aspecto crítico em ambientes de armazenamento em nuvem, especialmente quando se trata de sistemas de armazenamento de objetos, como o Ceph Storage. A Autenticação de Fator Múltiplo (MFA) é uma medida eficaz para reforçar a proteção de dados armazenados em buckets, adicionando uma camada extra de segurança ao processo de autenticação. Este estudo técnico tem como objetivo explorar como ativar o MFA em um Bucket do Ceph Storage, destacando suas vantagens na mitigação de riscos e proteção contra acessos não autorizados.
Explicação breve sobre o Ceph Storage como um sistema de armazenamento distribuído e altamente escalável, adequado para ambientes de nuvem.
Introdução à Autenticação de Fator Múltiplo (MFA):
Explicação dos fatores de autenticação típicos: algo que o usuário sabe (senha), algo que o usuário possui (dispositivo móvel), e algo que o usuário é (impressão digital, reconhecimento facial).
Discussão sobre as principais vantagens de utilizar MFA em um Bucket do Ceph Storage.
Mitigação de riscos: Reforço na proteção contra ataques de força bruta e tentativas de acesso não autorizado.
Camada extra de segurança: Além das senhas, o MFA adiciona um segundo fator para garantir a autenticidade do usuário.
Conformidade com normas de segurança: MFA é uma prática recomendada em muitos padrões de segurança e regulamentações.
a. Configuração prévia:
Garantir que os usuários ou serviços tenham autenticação habilitada.
b. Habilitando o MFA no Bucket:
Demonstração passo a passo de como ativar o MFA em um Bucket específico do Ceph Storage.
c. Teste de Funcionamento:
Verificação do MFA em ação e teste da autenticação de fator múltiplo.
Para ativar o MFA em um Bucket do Ceph Storage por linha de comando (CLI), você precisará utilizar a ferramenta de gerenciamento de objetos do Ceph, que é o radosgw-admin. Abaixo estão os passos para realizar essa ativação:
Observação: Antes de prosseguir com os passos abaixo, certifique-se de que você tenha acesso administrativo ao Ceph Storage e tenha instalado o pacote radosgw-admin em sua máquina.
Certifique-se de que o serviço de armazenamento de objetos (radosgw) esteja em execução no seu cluster Ceph. Se não estiver em execução, inicie-o.
Criação do usuário com MFA por CLI:
Use o seguinte comando para criar um usuário com suporte a MFA:
radosgw-admin user create --uid=<NOME_DO_USUARIO> --display-name=<NOME_EXIBICAO_USUARIO> --system
Substitua <NOME_DO_USUARIO> e <NOME_EXIBICAO_USUARIO> pelos valores desejados para o usuário.
Habilitando MFA no Bucket por CLI:
Agora, você precisa habilitar o MFA para o bucket específico. Use o seguinte comando:
radosgw-admin bucket modify --bucket=<NOME_DO_BUCKET> --uid=<NOME_DO_USUARIO> --mfa-enabled=true
Substitua <NOME_DO_BUCKET> pelo nome do bucket que você deseja proteger e <NOME_DO_USUARIO> pelo nome do usuário que foi criado na etapa anterior.
Gerando Chave MFA:
Para habilitar o MFA, você precisa gerar uma chave MFA para o usuário. Use o seguinte comando:
radosgw-admin mfa create --uid=<NOME_DO_USUARIO> --totp-serial=
Substitua <NOME_DO_USUARIO> pelo nome do usuário que foi criado anteriormente e por um valor único que represente a chave MFA. Você pode usar um valor aleatório aqui.
Associando MFA ao Usuário:
Agora, associe a chave MFA ao usuário usando o seguinte comando:
radosgw-admin mfa associate --uid=<NOME_DO_USUARIO> --totp-serial=
Substitua <NOME_DO_USUARIO> pelo nome do usuário e pela mesma chave MFA gerada na etapa anterior.
Configuração da Política MFA no Bucket (opcional):
Se desejar, você também pode configurar políticas MFA específicas para o bucket usando o seguinte comando:
radosgw-admin bucket mfa modify --bucket=< NOME_DO_BUCKET > --uid=< NOME_DO_USUARIO > --versioning-enabled=true --mfa-delete=true
Esse comando habilitará a MFA para operações de exclusão no bucket e também ativará o versionamento para prevenir exclusões acidentais.
Com esses passos, o MFA estará ativado para o bucket específico e somente usuários com a chave MFA correta poderão realizar operações nele. Lembre-se de armazenar a chave MFA em local seguro, pois ela é fundamental para o acesso ao bucket. A MFA oferece uma camada adicional de segurança ao ambiente Ceph, ajudando a proteger os dados armazenados em seus buckets contra acessos não autorizados.
A Autenticação de Fator Múltiplo (MFA) é uma medida de segurança vital para proteger dados armazenados em um Bucket do Ceph Storage contra acessos não autorizados. Este estudo técnico destacou as vantagens do MFA, que incluem a adição de uma camada extra de segurança e a conformidade com padrões de segurança. Através da implementação adequada do MFA, a SETIC pode fortalecer sua postura de segurança, mitigar riscos e garantir a integridade dos dados em seus ambientes de armazenamento em nuvem. É fundamental que empresas e usuários reconheçam a importância da segurança de dados e adotem medidas como o MFA para proteger seus ativos mais valiosos.