Un examen plus approfondi du pare-feu MinIO Enterprise Object Store

Dans notre discussion précédente , nous avons introduit le pare-feu MinIO Object Store, un nouveau composant de sécurité qui va au-delà des couches de sécurité traditionnelles des réseaux et des applications. Ni les pare-feu basés sur IP ni les pare-feu applicatifs ne sont conçus pour les données. C'est pourquoi nous avons créé le pare-feu MinIO Enterprise Object Store – car dans l'entreprise moderne, ce sont les données qui doivent être protégées et un pare-feu compatible S3 n'existe pas. Ce pare-feu de données compatible S3 est crucial pour la protection moderne des données, fonctionnant au niveau de la couche de stockage pour protéger complètement vos données.

Le pare-feu MinIO Enterprise Object Store est conçu spécifiquement pour fonctionner avec des applications utilisant le magasin d'objets MinIO et ses points de terminaison d'API. Le pare-feu d'entreprise est léger, puissant, flexible et extensible.

Examinons la configuration de ce pare-feu avancé, conçu pour sécuriser vos données dans le paysage numérique de plus en plus complexe d'aujourd'hui.

Activer et configurer le pare-feu

Utilisons l'Enterprise Console pour configurer le pare-feu. Suivez les étapes ci-dessous pour activer et configurer le pare-feu.

Configurer TLS pour une communication sécurisée

Dans le cadre de MinIO Enterprise Suite, nous avons toujours recommandé de vous assurer d'activer TLS sur MinIO Enterprise Object Store afin que même les communications inter-clusters soient cryptées. Dans le même esprit, nous prenons également en charge TLS pour le pare-feu d'entreprise. Cela garantit que toute connexion au MinIO Object Store via le pare-feu est cryptée de bout en bout. Pour une sécurité renforcée, configurez les paramètres TLS lors du lancement du pare-feu avec Let's Encrypt.

Préséance de la règle anonyme

Dans notre configuration MinIO Enterprise Firewall, vous rencontrerez deux règles distinctes pour l'accès anonyme :

Paramètre anonyme global : au début, lorsque vous activez le pare-feu, nous spécifions un paramètre global qui autorise l'accès anonyme dans tous les compartiments, sauf si une règle plus spécifique le refuse.

Anonyme spécifique au bucket : après avoir configuré le paramètre global, sous chaque règle individuelle, nous pouvons définir une règle plus spécifique qui remplace le paramètre global, refusant ainsi l'accès anonyme.

Dans ce cas, même si nous avons initialement basculé Global Anonymous sur Autoriser pour tous les compartiments, parce que nous avons défini une autre règle plus spécifique en dessous, qui s'applique également à tous les compartiments, celle que nous avons définie ultérieurement a priorité sur le paramètre global. En d’autres termes, l’accès anonyme au bucket sera refusé pour tous les buckets.

Équilibrage de charge sur les nœuds MinIO

En prime, comme nous devons définir tous les nœuds MinIO comme backend pour le pare-feu, le pare-feu fait également office de LoadBalancer, éliminant ainsi le besoin d'un équilibreur de charge séparé entre le pare-feu et les nœuds MinIO.

Cela élimine davantage de complexité et garantit qu'il n'y a pas de point de défaillance unique au cas où l'un des backend MinIO se déconnecterait. Veuillez noter que vous devez disposer d'un autre niveau de redondance pour garantir que lors de la connexion à Enterprise Firewall, les connexions entrantes sont également distribuées à plusieurs instances d'Enterprise Firewall. Cette configuration dépasse le cadre de ce blog mais c'est quelque chose à garder à l'esprit.

Bilans de santé et surveillance

Le bilan de santé vous a permis de voir si le pare-feu est dans un état sain. Vous pouvez vérifier la santé et la vivacité comme suit.

Si tout est vert, cela indiquera que le pare-feu fonctionne correctement.

Dernières pensées

Avec le pare-feu MinIO Enterprise, fini le temps de lutte avec des tables IP complexes et des politiques d'accès peu claires. Notre solution de pare-feu simplifie votre sécurité en se concentrant exclusivement sur les règles essentielles requises pour votre magasin d'objets et les interactions API. Il est optimisé pour garantir qu'il n'y a pas de latence ou de règles imprévues, bloquant l'accès à votre magasin d'objets MinIO.

De plus, le pare-feu d'entreprise est entièrement pris en charge par notre formidable équipe de SOUS-RÉSEAU où nous pouvons vous aider en architecturant le pare-feu d'entreprise de la bonne façon de travailler avec le magasin d'objets MinIO et de résoudre tout problème futur.

Alors qu'est-ce que tu attends? Si vous avez des questions sur le pare-feu MinIO Enterprise Object Store, assurez-vous de nous contacter au Mou ou [email protected] !