客戶登入
產品
MinIO 企業級物件儲存
概觀 架構
功能
MinIO 適用於公有雲
AWS GCS Azure
MinIO 適用於私有雲
Kubernetes OpenShift SUSE Rancher Tanzu
MinIO 適用於裸機
Linux 和 Windows
Determine your raw and usable capacity Erasure Code 計算機 MinIO's Recommended Hardware Configuration 參考硬體
解決方案
AI 儲存 物件儲存正在推動 AI 革命。瞭解 MinIO 如何透過大規模的效能引領 AI 儲存市場。 現代資料湖 現代、多引擎資料湖依賴於能夠大規模提供效能的物件儲存。深入瞭解這個 MinIO 的核心使用案例。 混合雲 有效的多雲儲存策略依賴於能夠在各種環境中無縫運作的架構和工具。 HDFS 遷移 使用 MinIO 的高效能、Kubernetes 原生物件儲存來實現大數據儲存基礎設施的現代化和簡化。 Equinix 將您的資料遷移回您控制的雲端,並在 Equinix 上使用 MinIO,以降低成本,同時保持與公有雲的鄰近性。 Splunk 瞭解 MinIO 如何為 Splunk SmartStore 提供大規模的效能。 Snowflake 使用 Snowflake Data Cloud 查詢和分析 MinIO 上多個資料來源,包括串流資料。無需移動資料,只需使用 SnowSQL 查詢。 SQL Server 瞭解如何將 SQL Server 2022 與 MinIO 配對,以便在任何雲端上查詢您的資料,而無需移動資料。 VMware 瞭解 MinIO 如何與 VMware 的整個產品組合(從 Persistent Data 平台到 TKG)整合,以及我們如何支援他們的 Kubernetes 雄心。 Veeam 瞭解 MinIO 和 Veeam 如何合作,為各種備份使用案例推動效能和可擴展性。 Commvault 瞭解 Commvault 和 MinIO 如何合作,為任務關鍵型備份和還原工作負載提供大規模的效能。 整合 瀏覽我們廣泛的整合組合。
社群
GitHub 加入我們的 GitHub 開源社群:探索、實驗、提問並做出貢獻。 Slack 頻道 MinIO 社群 Slack 提供了一個開放論壇,用於討論與 MinIO 相關的主題。所有支援都是盡力而為提供的。
文件 部落格 資源 培訓 合作夥伴 定價
下載

企業級物件儲存加密

在物件儲存的世界中,強大的加密是獲得一席之地的必要條件。MinIO 透過最高等級的加密以及廣泛的優化提供更多,這些優化幾乎消除了通常與儲存加密操作相關的開銷。

Enterprise Grade Object Storage Encryption

MinIO 會在資料儲存在磁碟上以及透過網路傳輸時對資料進行加密。MinIO 最先進的加密方案支援使用現代、業界標準加密演算法(例如 AES-256-GCM、ChaCha20-Poly1305 和 AES-CBC)進行精細的物件級加密。MinIO 完全相容於 S3 加密語義,並且還透過支援非 AWS 金鑰管理服務(例如 Hashicorp Vault、Gemalto KeySecure 和 Google Secrets Manager)來擴展 S3。

網路加密

當資料在物件儲存和應用程式之間傳輸時,它可能會在任意數量的未知和/或不受信任的網路之間跳躍。對透過網路傳輸的資料(也稱為「線路傳輸」)進行加密可以成功地減輕中間人攻擊,並確保資料的安全,無論它採取哪條路徑。

MinIO 支援叢集中所有元件之間的傳輸層安全性 (TLS) v1.2+。這種方法確保叢集內部或叢集間的加密流量中沒有薄弱環節。TLS 是一種普遍存在的加密框架:它在 https 中放入 s,並且是銀行、電子商務網站和其他依賴資料儲存加密的企業級系統所使用的相同加密協定。

MinIO 的 TLS 實現在 CPU 指令級別進行了優化,並且效能開銷可忽略不計。它只需要為叢集中的每個 MinIO 伺服器指定 TLS 私鑰和公開憑證。對於 Kubernetes 環境,MinIO Kubernetes Operator 已將整合/自動 TLS 憑證產生和分配作為租戶部署流程的一部分。MinIO 支援多個 TLS 憑證,其中每個憑證對應於特定的網域名稱。MinIO 使用伺服器名稱指示 (SNI) 來決定要為任何給定的請求提供哪個憑證。

物件加密

儲存在磁碟上的資料完全依賴於磁碟的安全性和主機系統來保護資料的安全。MinIO 伺服器端物件加密會在資料儲存在磁碟上之前自動對其進行加密(靜態加密)。這種方法保證沒有未加密的資料寫入磁碟。這個基準的安全層確保了靜態資料的機密性、完整性和真實性。MinIO 支援用戶端驅動和自動儲存貯體預設物件加密,以實現資料加密的最大彈性。

MinIO 伺服器端加密與 Amazon AWS-S3 語義 (SSE-S3) 相容。MinIO 將 AWS KMS 的基準支援擴展到包括常見的企業 KMS 系統,例如 Hashicorp Vault 和 Thales Ciphertrust(以前稱為 Gemalto KeySecure)。MinIO 還支援用戶端驅動的加密 (SSE-C),其中應用程式可以指定用於加密物件的資料金鑰。對於 SSE-S3 和 SSE-C,MinIO 伺服器會執行所有加密操作,包括金鑰輪換和物件的重新加密。

透過自動伺服器端加密,MinIO 使用唯一的金鑰加密每個物件,並使用動態加密金鑰和從外部 KMS 或用戶端提供的金鑰衍生的金鑰應用多層額外加密。這種安全而複雜的方法在 MinIO 中進行,無需處理多個獨立的內核和使用者空間加密實用程式。

MinIO 使用驗證加密方案 (AEAD) 來加密/解密寫入或從物件儲存讀取的物件。MinIO AEAD 加密支援業界標準的加密協定,例如 AES-256-GCM 和 ChaCha20-Poly1305,以保護物件資料的安全。MinIO 的 CPU 級優化(例如 SIMD 加速)可確保加密/解密操作的效能開銷可忽略不計。組織可以始終執行自動儲存貯體級加密,而不是被迫做出次優的安全選擇。

MinIO 金鑰加密服務

MinIO 提供金鑰加密的內建選項。MinIO 的金鑰加密服務 (KES) 是一個用於高效能應用程式的無狀態分散式金鑰管理系統。它旨在 Kubernetes 內執行,並將加密金鑰分發給應用程式。KES 是 MinIO 伺服器端物件加密 (SSE-S3) 的必要組件。

KES 支援 MinIO 叢集上的加密操作,並且是確保可擴展和高效能加密操作的關鍵機制。KES 作為 MinIO 叢集和外部 KMS 之間的中介,產生加密金鑰並根據需要執行加密操作,並且不受 KMS 限制的約束。因此,仍然有一個中央 KMS 保護主金鑰,並充當基礎架構內的信任根。KES 透過消除為每組應用程式啟動 KMS 的需要,簡化了部署和管理。相反,應用程式可以從 KES 伺服器請求資料加密金鑰 (DEK),或要求 KES 伺服器解密加密的 DEK。

由於 KES 伺服器是完全無狀態的,因此可以自動擴展,例如透過 Kubernetes 水平自動縮放器。同時,由於 KES 獨立處理絕大多數應用程式請求,因此中央 KMS 的負載不會顯著增加。

對於 Kubernetes 環境,MinIO Kubernetes Operator 支援為每個租戶部署和配置 KES,從而在每個租戶部署中啟用 SSE-S3。

MinIO Key Encryption Service

支援的外部金鑰管理系統

HashiCorp Gemalto AWS Secrets Manager Google Secret Manager AWS KMS Key Vault

深入了解物件儲存加密

MinIO 安全概觀
文件
MinIO 安全概觀
閱讀
無摩擦加密
部落格
無摩擦加密
閱讀故事
KES 介紹 - 大規模金鑰管理
部落格
KES 介紹 - 大規模金鑰管理
閱讀故事
請求演示 請求演示

您正在使用 Internet Explorer 版本 11 或更舊的版本。由於存在安全性問題且缺乏對網頁標準的支援,強烈建議您升級到現代瀏覽器。

Chrome Chrome Firefox Firefox Opera Opera Edge Edge