在我们之前的讨论中,我们介绍了 MinIO 对象存储防火墙,这是一个新颖的安全组件,超越了传统的网络和应用程序安全层。基于 IP 的防火墙和应用程序防火墙都不是为数据而设计的。这就是我们构建 MinIO Enterprise 对象存储防火墙的原因——因为在现代企业中,数据才是必须保护的对象,并且不存在 S3 感知的防火墙。这种 S3 感知的数据防火墙对于现代数据保护至关重要,它在存储层运行以全面保护您的数据。
MinIO Enterprise 对象存储防火墙专门设计用于与使用 MinIO 对象存储及其 API 端点的应用程序配合使用。企业防火墙轻量级、功能强大、灵活且可扩展。
让我们深入了解如何设置这个高级防火墙,它旨在保护您在当今日益复杂的数字环境中的数据。
让我们使用企业控制台来设置防火墙。请按照以下步骤启用和配置防火墙。
作为 MinIO Enterprise 套件的一部分,我们始终建议您确保在 MinIO Enterprise 对象存储上启用 TLS,以便即使集群间通信也得到加密。本着同样的精神,我们也支持企业防火墙的 TLS。这确保了通过防火墙连接到 MinIO 对象存储的任何连接都得到端到端加密。为了增强安全性,在使用 Let's Encrypt 启动防火墙时配置 TLS 设置。
匿名规则的优先级
在我们的 MinIO Enterprise 防火墙配置中,您将遇到两条不同的匿名访问规则
全局匿名设置:在您启用防火墙时,我们会指定一个全局设置,允许跨所有存储桶进行匿名访问,除非更具体的规则拒绝它。
存储桶特定匿名:在配置全局设置后,在每个单独的规则下,我们可以设置更具体的规则来覆盖全局设置,有效地拒绝匿名访问
在这种情况下,即使我们最初将全局匿名切换为允许所有存储桶,但由于我们在其下方设置了另一个更具体的规则,该规则也适用于所有存储桶,因此我们后来设置的规则优先于全局设置。换句话说,所有存储桶的匿名存储桶访问都将被拒绝。
跨 MinIO 节点负载均衡
作为额外的好处,因为我们需要将所有 MinIO 节点定义为防火墙的后端,所以防火墙兼作负载均衡器,无需在防火墙和 MinIO 节点之间设置单独的负载均衡器。
这消除了进一步的复杂性,并确保如果其中一个 MinIO 后端离线,不会出现单点故障。请注意,您需要另一层冗余来确保在连接到企业防火墙时,传入连接也分布到多个企业防火墙实例。此配置超出本博文的范围,但需要牢记。
健康检查和监控
启用的健康检查使您能够查看防火墙是否处于健康状态。您可以按如下方式检查健康状况和活跃度。
如果所有内容都显示为绿色,则表示防火墙运行正常。
最后的想法
有了 MinIO Enterprise 防火墙,与复杂的 iptables 和不明确的访问策略作斗争的日子一去不复返了。我们的防火墙解决方案通过专注于对象存储和 API 交互所需的必要规则来简化您的安全性。它经过优化,以确保不会出现延迟或意外规则,从而阻止对 MinIO 对象存储的访问。
此外,企业防火墙完全受我们SUBNET的优秀团队支持,我们可以通过正确地构建企业防火墙以与 MinIO 对象存储配合使用并解决任何未来的问题来帮助您。
还在等什么?如果您对 MinIO Enterprise 对象存储防火墙有任何疑问,请务必通过Slack或hello@min.io与我们联系!
擦除码计算器 
参考硬件 