資訊專欄INFORMATION COLUMN
摘要:在把數據寫入存儲后端之前會先將數據加密,所以即使你直接讀取存儲后端數據也無法拿到真正的數據。數據加密可以在不對數據存儲的情況下,對數據進行加密和解密。作為證書服務器能夠作為服務器,根據請求信息自動頒發證書。
vault介紹 vault是什么
vault是一個密碼/證書集中式管理工具,通過HTTP-API對外提供統一的密碼訪問入口,并且提供權限控制以及詳細的日志審計功能。
一個系統可能需要訪問多個帶密碼的后端:例如數據庫、通過API keys對外部系統進行調用,面向服務的架構通信等等。要將眾多系統中的用戶和權限對應起來已經非常困難,加上提供密鑰滾動功能、安全的存儲后端還要有詳細的審計日志,自定義解決方案幾乎不太可能。這也就是vault存在的意義。
vault的特性(1)安全的存儲后端:任意的鍵值對密碼都能存儲在vault。vault在把數據寫入存儲后端之前會先將數據加密,所以即使你直接讀取存儲后端數據也無法拿到真正的數據。vault的存儲后端可以是文件、Consul、etcd等等
(2)動態密碼生成:vault能夠按需生成某些后端的密碼,例如:AWS、SQL數據庫等等。例如當一個應用需要訪問AWS的S3 bucket,應用向vault請求訪問S3 bucket的證書,vault能按需生成一個指定權限的AWS密鑰,并且能夠根據租期自動銷毀這個密鑰。
(3)數據加密:vault可以在不對數據存儲的情況下,對數據進行加密和解密。安全團隊只需定義好加密方法,開發將加密后的數據存儲在例如SQL之類的后端即可,而無需設計自己的加密方式。
(4)租期和續租:在vualt里面,全部的密碼都可以跟租期聯系起來。在租期結束時,vault會自動銷毀對應的密碼。客戶端能夠通過renew-API進行續租。
(5) 銷毀:vault本身支持對密碼進行銷毀,不僅支持銷毀單個密碼,還支持銷毀與之關聯的密碼。比如指定某個用戶讀取的全部密碼,或者特定類型的密碼。銷毀功能能夠在密碼被泄露的時候輔助鎖定系統。
vault的使用場景(1) 作為集中存儲各個服務器賬號密碼的服務器。目前我們有服務器需要訪問到有密碼的后端的時候,有幾種方案:
export到環境變量
寫死到代碼里面
上線的時候使用自動化工具對變量進行替換
第一種方案帶來的問題是使用麻煩,后兩種方案帶來的問題是維護和變更麻煩。比如DB密碼泄露,需要修改密碼,首先DBA修改密碼,然后通知到應用,應用再做代碼上的變更。如果使用vault的話,DBA只要在vault上面修改好密碼之后通知應用重新從vault拉取最新密碼就行了。
(2)為每一個操作單位動態分配賬號
比如過去我們想要對某些敏感操作進行審計,但是由于生成賬號比較麻煩,所以存在公用賬號的情況。vault支持為某些后端動態生成賬號的功能,比如SQL,當某個應用向vault請求賬號密碼的時候,vault能夠為每次請求生成一個獨一無二的SQL賬號密碼。
(3) 作為證書服務器
vault能夠作為CA服務器,根據請求信息自動頒發證書。并且提供在線CA和CRL的功能。不過目前只能在vault里面新生成ROOT-CA,不能導入原有的ROOT-CA。
(4)作為OAUTH服務器
vault支持多種認證后端,比如github、kubernetes、賬號密碼等等。vault能夠將這些賬號關聯成一個用戶,在用戶認證之后返回一個token供用戶使用。
最簡單的vault服務器以Linux-64bit系統為例
# 下載 vault wget https://releases.hashicorp.com/vault/0.9.1/vault_0.9.1_linux_amd64.zip unzip vault_0.9.1_linux_amd64.zip # 啟動dev模式,此模式下任何改動都在內存中進行,數據不會保存 ./vault server -dev # 啟動信息 # ==> Vault server configuration: # ... # Unseal Key: 0Gg1yc/qY2W3f82DnxcZTEjdvMuxpjOV5nzNnVrMy4U= # Root Token: eb45cfe5-9cca-3b23-5416-49f2febeb59c # ... # 我們能看到vault自動監聽在了127.0.0.1:8200,并自動為我們生成了unseal-key以及root-token # 啟封 vault,在使用vault之前首先要對vault進行啟封,才能對vault進行后續操作。使用上面生成的uneal-key,其實dev模式下默認是已經啟封狀態 vault unseal 0Gg1yc/qY2W3f82DnxcZTEjdvMuxpjOV5nzNnVrMy4U= # 認證,使用上面的Root Token vault auth eb45cfe5-9cca-3b23-5416-49f2febeb59c # 將vault地址寫入環境變量 export VAULT_ADDR="http://127.0.0.1:8200"
# 使用vault-cli操作vault,實際上后臺是調用通過HTTP-API來操作vault # 寫入密碼,在此你可以寫入任意的鍵值對 vault write secret/vault host=127.0.0.1 password=123456
# 讀取剛剛寫入的密碼 vault read secret/vault結語
當然vault能做的遠遠不止上面的鍵值對存儲和讀取,這里主要對vault的使用做一個大概的介紹,以及簡單使用,后面會深入講解vault的各個組件以及高級用法。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11308.html
摘要:截至年月日,將網站標記為不安全。管理密碼使用密碼哈希以純文本格式存儲密碼是最糟糕的事情之一。是中密碼哈希的主要接口,如下所示提供了幾種實現,最受歡迎的是和。 Spring Boot大大簡化了Spring應用程序的開發。它的自動配置和啟動依賴大大減少了開始一個應用所需的代碼和配置量,如果你已經習慣了Spring和大量XML配置,Spring Boot無疑是一股清新的空氣。 Spring ...
摘要:官方沒有提供圖形界面功能,比較了幾個開源的圖形界面之后,覺得的功能相對完善。 vault官方沒有提供圖形界面功能,比較了幾個開源的圖形界面之后,覺得goldfish的功能相對完善。 goldfish部署 sudo mkdir /opt/goldfish && sudo chown `whoami:whoami` git clone https://github.com/Caiyeon...
摘要:也就是說,源配置文件只要擴展名是就會生效。查看目錄內容如下中默認情況下文件生效,需要使用網絡,但官方源在國外,連接速度令人心痛。數字證書的公鑰文件保存位置。前兩個是協議的,最后一個表示根目錄,三個一個都不能少。目錄1、yum源文件解析2、查看yum源文件3、搭建本地光盤yum源第一步:第二步:第三步:提示:RPM包的在線安裝就是yum安裝,yum安裝需要依據yum源文件內容配置來尋找軟件。本...
摘要:使用認證配置可以使用的進行認證在為創建賬號,用于調用找到的以及把圖中的以及用解碼得到證書使用配置認證是上圖中用解碼的值是的地址是上圖中用解碼的值存儲的文件路徑,允許調用的使用的認證創建認證對應里面創建的,對應里面的 vault使用kubernetes認證 配置 vault可以使用kubernetes的serviceaccount進行認證 #在kubernetes為vault創建serv...
摘要:為容器設計的商業安全套件,功能包括安全審計容器鏡像驗證運行時保護自動策略學習或入侵預防。基于一種稱為的新內核技術,允許根據容器身份定義并執行網絡層和層安全策略。自動發現應用程序容器和服務的行為,以及與其他類似方式檢測安全升級和其他威脅。 數人云:隨著越來越多的企業將生產工作負載遷移到容器當中,關于Docker的安全性,成了普遍關注的問題。 這是一個簡單卻又沒有答案的問題,不要試圖用二進...
閱讀 2270·2023-04-25 14:50
閱讀 1263·2021-10-13 09:50
閱讀 1872·2019-08-30 15:56
閱讀 1847·2019-08-29 15:29
閱讀 2891·2019-08-29 15:27
閱讀 3556·2019-08-29 15:14
閱讀 1201·2019-08-29 13:01
閱讀 3305·2019-08-26 14:06
