安全检查清单
在为生产级分布式 MinIO 部署规划安全配置时,请使用以下检查清单。
必做步骤
在 MinIO 或所选的第三方身份提供商(LDAP/Active Directory 或 OpenID)中定义组策略 |
|
在 MinIO 或所选的第三方身份提供商上定义单个访问策略 |
|
(仅 Kubernetes 部署)将租户配置为使用所选的第三方身份提供商 |
|
在防火墙中放行到 MinIO Server S3 API 监听端口的 TCP 流量(默认: |
|
在防火墙中放行到 MinIO Server Console 监听端口 的 TCP 流量(推荐默认值: |
静态数据加密
MinIO 通过 Key Encryption Service (KES) 支持以下外部 KMS 提供方:
下载并安装 MinIO Key Encryption Service (KES) |
|
启用 TLS |
|
为 KES 生成私钥和公钥 |
|
为 MinIO 生成私钥和公钥 |
|
创建 KES 配置文件并启动服务 |
|
为密钥管理服务(KMS)生成外部密钥 |
|
将 MinIO 连接到 KES |
|
启用服务端加密 |
传输中加密(”In flight”)
为每个访问 MinIO 的内部和外部域名分别添加证书和密钥 |
|
使用 TLS 1.3 或 TLS 1.2 支持的 cipher 生成 TLS 私钥和公钥 |
|
配置受信任的 Certificate Authority (CA) 存储 |
|
暴露 Kubernetes Service,例如使用 NGINX |
|
(可选)验证证书,例如使用 https://www.sslchecker.com/certdecoder |
本作品采用
Creative Commons Attribution 4.0 International License.
授权。
2020-Present, MinIO, Inc.
