Более пристальный взгляд на брандмауэр MinIO Enterprise Object Store

В нашем предыдущее обсуждение , мы представили межсетевой экран MinIO Object Store, новый компонент безопасности, который выходит за рамки традиционных уровней безопасности сети и приложений. Ни межсетевые экраны на основе IP, ни межсетевые экраны приложений не предназначены для передачи данных. Именно поэтому мы создали межсетевой экран MinIO Enterprise Object Store: на современном предприятии данные — это то, что необходимо защищать, а брандмауэра с поддержкой S3 не существует. Этот межсетевой экран с поддержкой S3 имеет решающее значение для современной защиты данных, работая на уровне хранения и обеспечивая комплексную защиту ваших данных.

Брандмауэр MinIO Enterprise Object Store разработан специально для работы с приложениями, использующими хранилище объектов MinIO и его конечные точки API. Корпоративный межсетевой экран — легкий, мощный, гибкий и расширяемый.

Давайте углубимся в настройку этого усовершенствованного межсетевого экрана, предназначенного для защиты ваших данных в сегодняшней все более сложной цифровой среде.

Включить и настроить брандмауэр

Давайте воспользуемся корпоративной консолью для настройки брандмауэра. Выполните следующие шаги, чтобы включить и настроить брандмауэр.

Настройка TLS для безопасной связи

В рамках пакета MinIO Enterprise Suite мы всегда рекомендуем включать TLS в хранилище объектов MinIO Enterprise, чтобы даже межкластерные соединения шифровались. В том же духе мы поддерживаем TLS и для корпоративного межсетевого экрана. Это гарантирует, что любое соединение с хранилищем объектов MinIO через брандмауэр будет зашифровано сквозным шифрованием. Для повышения безопасности настройте параметры TLS при запуске брандмауэра с помощью Let's Encrypt.

Приоритет анонимного правила

В нашей конфигурации MinIO Enterprise Firewall вы встретите два различных правила анонимного доступа:

Глобальная анонимная настройка: вначале, когда вы включаете брандмауэр, мы указываем глобальную настройку, которая разрешает анонимный доступ ко всем сегментам, если только более конкретное правило не запрещает это.

Анонимный доступ к конкретному сегменту: после настройки глобального параметра для каждого отдельного правила мы можем установить более конкретное правило, которое переопределяет глобальный параметр, эффективно запрещая анонимный доступ.

В этом случае, несмотря на то, что изначально мы переключили параметр Global Anonymous на «Разрешить для всех сегментов», поскольку под ним мы установили еще одно более конкретное правило, которое также применяется ко всем сегментам, то, которое мы установили позже, имеет приоритет над глобальным параметром. Другими словами, анонимный доступ к корзинам будет запрещен для всех корзин.

Балансировка нагрузки на узлах MinIO

В качестве дополнительного бонуса, поскольку нам необходимо определить все узлы MinIO как серверную часть межсетевого экрана, межсетевой экран выполняет функцию LoadBalancer, устраняя необходимость в отдельном балансировщике нагрузки между межсетевым экраном и узлами MinIO.

Это исключает дальнейшую сложность и гарантирует отсутствие единой точки отказа в случае, если один из бэкэндов MinIO выйдет из строя. Обратите внимание: вам необходим еще один уровень резервирования, чтобы при подключении к корпоративному брандмауэру входящие соединения также распределялись по нескольким экземплярам корпоративного брандмауэра. Эта конфигурация выходит за рамки этого блога, но о ней следует помнить.

Проверка работоспособности и мониторинг

Проверка работоспособности позволила вам увидеть, находится ли брандмауэр в работоспособном состоянии. Проверить здоровье и живость можно следующим образом.

Если все горит зеленым, это означает, что брандмауэр работает правильно.

Последние мысли

Благодаря корпоративному межсетевому экрану MinIO прошли времена борьбы со сложными IP-таблицами и нечеткими политиками доступа. Наше решение межсетевого экрана упрощает вашу безопасность, фокусируясь исключительно на основных правилах, необходимых для вашего хранилища объектов и взаимодействия API. Он оптимизирован для обеспечения отсутствия задержек или непредвиденных правил, блокирующих доступ к вашему хранилищу объектов MinIO.

Более того, корпоративный брандмауэр полностью поддерживается нашей замечательной командой в ПОДСЕТЬ где мы можем помочь вам, правильно спроектировав корпоративный брандмауэр для работы с хранилищем объектов MinIO и устраняя любые будущие проблемы.

И так, чего же ты ждешь? Если у вас есть какие-либо вопросы о брандмауэре MinIO Enterprise Object Store, обязательно свяжитесь с нами по телефону Слабый или привет@min.io !