srcmini本文概述
确保对你的业务至关重要。
在处理容器, Kubernetes, 云和秘密时, 有很多考虑事项。除了选择和执行各种工具外, 你还必须采用和结合有关身份和访问管理的最佳实践。
无论你是开发人员还是系统管理员专业人员, 都需要明确说明你拥有正确的选择工具来确保环境的安全。应用程序需要访问适当的配置数据才能正常运行。而且, 尽管大多数配置数据是不敏感的, 但仍需要保密。这些字符串称为机密。
好吧, 如果你要构建可靠的应用程序, 则可能是你的功能需要访问机密信息或你保留的任何其他类型的敏感信息。这些秘密包括:
- API密钥
- 数据库凭证
- 加密金钥
- 敏感的配置设置(电子邮件地址, 用户名, 调试标志等)
- 密码
但是, 安全地保护这些秘密可能在以后证明是一项艰巨的任务。因此, 这里有一些针对开发人员和系统管理员的提示:
修补功能依赖性
永远记住要跟踪功能中使用的库并通过连续监视漏洞来标记漏洞。
将API网关用作安全缓冲区
不要将功能完全暴露给用户交互。利用你的云提供商的API网关功能, 在你的功能之上包括另一层安全性。
保护和验证传输中的数据
确保将HTTPS用于安全的通信通道, 并验证SSL证书以保护远程身份。
遵循应用程序代码的安全编码规则
没有服务器可破解, 攻击者会将注意力转向应用程序层, 因此请格外小心以保护你的代码。
管理安全存储中的机密
敏感信息很容易泄漏, 如果你忽略采用适当的秘密管理解决方案, 那么过时的凭证很容易受到彩虹表的攻击。请记住不要将机密存储在应用程序系统, 环境变量或源代码管理系统中。
除其他原因外, 由于缺乏知识和资源, 合作世界中的密钥管理非常痛苦。相反, 一些公司将加密密钥和其他软件秘密直接嵌入使用它们的应用程序的源代码中, 从而存在暴露这些秘密的风险。
由于缺少太多现成的解决方案, 因此许多公司都在寻求构建自己的秘密管理工具。这里有一些, 你可以充分利用自己的需求。
Vault
HashiCorp Vault是用于安全存储和访问机密的工具。
它提供了一个统一的秘密接口, 同时保持了严格的访问控制并记录了全面的审核日志。它是一种确保用户应用程序和基础安全的工具, 可在发生漏洞的情况下限制表面空间和攻击时间。它提供了一个API, 该API允许根据策略访问机密。 API的任何用户都需要验证, 并且只能看到有权查看的机密。
保管箱使用带有GCM的256位AES加密数据。
它可以在各种后端(例如Amazon DynamoDB, Consul等)中累积数据。对于审核服务, Vault支持记录到本地文件, Syslog服务器或直接记录到套接字。保险柜会记录有关执行操作的客户端, 客户端IP地址, 操作以及执行时间的信息。
启动/重新启动总是涉及一个或多个操作员来打开Vault的密封。它主要与令牌一起使用。每个令牌都分配给可能限制操作和路径的策略。保险柜的主要功能包括:
- 它不存储数据就加密和解密数据。
- 保管箱可以按需为某些操作(例如AWS或SQL数据库)生成秘密。
- 允许在多个数据中心之间进行复制。
- 保管箱具有用于秘密撤销的内置保护。
- 用作具有访问控制详细信息的秘密存储库。
AWS Secrets Manager
你希望AWS在此列表中。不是吗
AWS可以解决所有问题。
AWS Secrets Manager使你能够快速轮换, 管理和检索数据库凭证, API密钥和其他密码。使用Secrets Manager, 你可以保护, 分析和管理访问AWS Cloud, 第三方服务和本地功能所需的秘密。
使用Secrets Manager, 你可以使用细粒度权限来管理对机密的访问。 AWS Secrets Manager的主要功能是:
- 使用加密密钥加密静态密码。
- 另外, 解密机密, 然后通过TLS安全传输
- 提供有助于调用Secrets Manager API的代码示例
- 它具有客户端缓存库, 以提高可用性并减少使用密码的延迟。
- 配置Amazon VPC(虚拟私有云)终端节点, 以将流量保持在AWS网络内。
Keywhiz
Square Keywhiz可以帮助处理基础结构机密, GPG密钥环, 数据库凭据, 包括TLS证书和密钥, 对称密钥, API令牌以及用于外部服务的SSH密钥。 Keywhiz是用于处理和共享机密的工具。
Keywhiz中的自动化功能使我们能够无缝分发和设置服务的基本秘密, 这需要一个一致且安全的环境。 Keywhiz的主要功能是:
- Keywhiz Server提供了用于收集和管理机密的JSON API。
- 它将所有机密仅存储在内存中, 永不重复出现在磁盘上
- UI是使用AngularJS制作的, 因此用户可以验证和使用UI。
Confidant
Confidant是一种开源秘密管理工具, 可维护用户友好的存储和安全地访问秘密。 Confidant以附加方式将机密存储在DynamoDB中, 并使用Fernet对称身份验证密码技术为所有机密的每次修改生成唯一的KMS数据密钥。
它提供了一个AngularJS Web界面, 该界面为最终用户提供了有效管理机密, 服务机密形式和更改记录的方法。一些功能包括:
- KMS验证
- 静态加密版本化机密
- 用户友好的Web界面, 用于管理机密
- 生成可用于服务到服务身份验证或在服务之间传递加密消息的令牌。
Strongbox
Strongbox是一种方便的工具, 用于处理, 存储和检索秘密, 例如访问令牌, 私有证书和加密密钥。Strongbox是客户端便利层。它为你维护AWS资源, 还可以安全地配置它们。
通过深度搜索, 你可以立即有效地快速检查整套密码和秘密。你可以选择将凭据存储在本地或云中。如果选择云, 则可以选择存储在iCloud, Dropbox, OneDrive, Google Drive, WebDAV等中。
Strongbox与其他安全密码兼容。
Azure密钥保管库
在Azure上托管应用程序?如果是, 那么这将是一个不错的选择。
Azure Key Vault使用户可以在特定位置管理其云应用程序的所有机密(密钥, 证书, 连接字符串, 密码等)。它与Azure秘密的起源和目标即开即用地集成在一起。 Azure外部的应用程序可以进一步利用它。
你还可以通过将加密密钥而不是本地存储在云中来减少云应用程序的延迟, 从而提高性能。
Azure可以帮助实现数据保护和合规性要求。
Docker secrets
Docker机密使你可以轻松地将机密添加到集群, 并且仅在相互认证的TLS连接上共享它。然后, 数据以Docker机密方式到达管理器节点, 并自动保存到内部Raft存储中, 以确保应加密数据。
Docker机密可以轻松地应用于管理数据, 从而将其传输到可以访问它的容器。当应用程序用完这些秘密时, 它可以防止这些秘密泄漏。
Knox
由社交媒体平台Pinterest开发的Knox, 通过手动管理密钥和保持审计追踪来解决他们的问题。 Knox用Go编写, 并且客户端使用REST API与Knox服务器通信。
Knox使用易失的临时数据库来存储密钥。它使用带有主加密密钥的AES-GCM对存储在数据库中的数据进行加密。 Knox也可以作为Docker映像使用。
总结
希望以上内容为你提供一些管理应用程序凭据的最佳软件。
评论前必须登录!
注册