Uma análise mais detalhada do firewall do MinIO Enterprise Object Store

Na nossa discussão anterior , apresentamos o MinIO Object Store Firewall, um novo componente de segurança que vai além das camadas tradicionais de segurança de redes e aplicativos. Nem os firewalls baseados em IP nem os firewalls de aplicativos são projetados para dados. É por isso que construímos o MinIO Enterprise Object Store Firewall – porque na empresa moderna, os dados são o que deve ser protegido e não existe um firewall compatível com S3. Este firewall de dados compatível com S3 é crucial para a proteção de dados moderna, operando na camada de armazenamento para proteger seus dados de forma abrangente.

O MinIO Enterprise Object Store Firewall foi projetado especificamente para funcionar com aplicativos que usam armazenamento de objetos MinIO e seus endpoints de API. O Enterprise Firewall é leve, poderoso, flexível e extensível.

Vamos nos aprofundar na configuração desse firewall avançado, projetado para proteger seus dados no cenário digital cada vez mais complexo de hoje.

Habilitar e configurar firewall

Vamos usar o Enterprise Console para configurar o firewall. Siga as etapas abaixo para ativar e configurar o Firewall.

Configurar TLS para comunicação segura

Como parte do MinIO Enterprise Suite, sempre recomendamos garantir que você habilite o TLS no MinIO Enterprise Object Store para que até mesmo as comunicações entre clusters sejam criptografadas. Com esse mesmo espírito, também oferecemos suporte ao TLS para o Firewall Corporativo. Isso garante que qualquer conexão com o MinIO Object Store por meio do Firewall seja criptografada de ponta a ponta. Para maior segurança, defina as configurações de TLS ao iniciar o firewall com Let's Encrypt.

Precedência da regra anônima

Em nossa configuração do MinIO Enterprise Firewall, você encontrará duas regras distintas para acesso anônimo:

Configuração anônima global: no início, quando você habilita o firewall, especificamos uma configuração global que permite acesso anônimo em todos os buckets, a menos que uma regra mais específica o negue.

Bucket Specific Anonymous: Depois de definir a configuração global, em cada regra individual, podemos definir uma regra mais específica que substitui a configuração global, negando efetivamente o acesso anônimo

Nesse caso, embora inicialmente tenhamos alternado Global Anonymous para Permitir para todos os buckets, porque definimos outra regra mais específica abaixo dela, que também se aplica a todos os buckets, aquela que definimos posteriormente tem precedência sobre a configuração global. Em outras palavras, o acesso anônimo ao bucket será negado para todos os buckets.

Balanceamento de carga entre nós MinIO

Como um bônus adicional, como precisamos definir todos os nós MinIO como back-end para o Firewall, o Firewall funciona como um LoadBalancer, eliminando a necessidade de um balanceador de carga separado entre o firewall e os nós MinIO.

Isso elimina ainda mais complexidade e garante que não haja nenhum ponto único de falha caso um dos back-ends do MinIO fique offline. Observe que você precisa ter outro nível de redundância para garantir que, ao se conectar ao Enterprise Firewall, as conexões de entrada também sejam distribuídas para várias instâncias do Enterprise Firewall. Esta configuração está além do escopo deste blog, mas é algo para se manter em mente.

Verificações de saúde e monitoramento

A verificação de integridade permitiu que você verificasse se o Firewall estava em bom estado. Você pode verificar a saúde e a vivacidade da seguinte maneira.

Se tudo estiver verde, isso indicará que o firewall está funcionando corretamente.

Pensamentos finais

Com o MinIO Enterprise Firewall, já se foram os dias de luta com tabelas IP complexas e políticas de acesso pouco claras. Nossa solução de firewall simplifica sua segurança concentrando-se exclusivamente nas regras essenciais exigidas para seu armazenamento de objetos e interações de API. Ele é otimizado para garantir que não haja latência ou regras imprevistas, bloqueando o acesso ao seu armazenamento de objetos MinIO.

Além disso, o Enterprise Firewall é totalmente suportado pela nossa incrível equipe em SUB-REDE onde podemos ajudá-lo arquitetando o Enterprise Firewall da maneira certa para trabalhar com o armazenamento de objetos MinIO e solucionar quaisquer problemas futuros.

Então, o que você está esperando? Se você tiver alguma dúvida sobre o MinIO Enterprise Object Store Firewall, entre em contato conosco em Folga ou olá@min.io !