Apache APISIX 集成 HashiCorp Vault,生态系统再添一员

最新推荐文章于 2024-05-16 07:00:00 发布
最新推荐文章于 2024-05-16 07:00:00 发布
阅读量503 收藏
点赞数
分类专栏: 合作插件 文章标签: apache 安全 github 网关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ApacheAPISIX/article/details/123095632
版权

随着微服务架构的兴起,保持服务安全变得比以前更有挑战性。多个后端 server 实例使用单一的静态密钥凭访问数据库 server 会带来巨大的风险。如果发生密钥凭证泄露,整个系统都会受到影响。为了解决密钥凭证泄露所带来的影响,只能撤销这个密钥凭证。而撤销密钥凭证会导致大规模的服务中断。对开发者来说,服务大规模中断是开发者最不想看到事情。

虽然我们不能提前预知将来会出现哪些安全漏洞,但是我们可以通过配置多个密钥来控制这些安全漏洞的影响范围。为了避免这样的情况,像 HashiCorp Vault (下文简称 Vault)这样密钥凭证解决方案 应运而生。本文演示了如何将 Vault 与 Apache APISIX 的jwt-auth插件集成,在为服务提供高并发低延迟的卓越性能的同时,为服务的安全保驾护航。

什么是 Vault

Vault 旨在帮助用户管理服务密钥的访问权限,并在多个服务之间安全地传输这些密钥。密钥可以是任何形式的凭证,因为密钥可用于解锁敏感信息,所以需要严密控制密钥。密钥的形式可以是密码、API 密钥、SSH 密钥、RSA 令牌或 OTP。事实上,密钥泄露的情况非常普遍:密钥通常被储存在配置文件中,或作为变量被储存在代码中,如果没有妥善保存,密钥甚至会出现在 GitHub、BitBucket 或 GitLab 等公开可见的代码库中,从而对安全构成了重大威胁。Vault 通过集中密钥解决了这个问题。它为静态密钥提供加密存储,生成具 有TTL 租约的动态密钥,对用户进行认证,以确保他们有权限访问特定的密钥。因此,即使在安全漏洞的情况下,影响范围也小得多,并能得到更好的控制。

Vault 提供了一个用户界面用于密钥管理,使控制和管理权限变得非常容易。不仅如此,它还提供了灵活且详细审计日志功能,能跟踪到所有用户的历史访问记录。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-snN47EY4-1645609372957)(https://tfzcfxawmk.feishu.cn/space/api/box/stream/download/asynccode/?code=NTk4ZTJlNWRlODA2Zjk3YTlhYzI2MGQzOWE5NDhkZjlfM1NKQ1NuRURpa3E1V0VCbE1rcUhoOU10VXRqanBBTnVfVG9rZW46Ym94Y25QUlNBVWNwWUFxWWJyRzlnOTJmN2pnXzE2NDU2MDkyMTk6MTY0NTYxMjgxOV9WNA)]

jwt-auth插件介绍

jwt-auth 是一个认证插件,可以附加到任何 APISIX 路由上,在请求被转发到上游 URI 之前执行 JWT 认证。通常情况下,发行者使用私钥或文本密钥来签署 JWT。JWT 的接收者将验证签名,以确保令牌在被发行者签名后没有被改变。整个 JWT 机制的整体完整性取决于签名密钥(或 RSA 密钥对的文本密钥)。这使得未经认证的来源很难猜到签名密钥并试图改变 JWT 中的声明。

因此,在安全的环境中存储这些密钥是非常关键的。如果密钥落入坏人之手,可能会危及整个基础设施的安全。虽然 Apache APISIX采取了一切手段来遵循标准的 SecOps 实践,但在生产环境中有一个集中的密钥管理解决方案也是一件好事。例如 Vault,有详细的审计日志,定时的密钥轮换,密钥撤销等功能。如果每次在整个基础设施发生密钥轮换时,你都要更新 Apache APISIX 配置,这将是一个相当麻烦的问题。

如何集成 Vault 和 Apache APISIX

为了与 Vault 集成,Apache APISIX 需要在 config.yaml 文件中加载 Vault 的相关配置信息。

Apache APISIX 与 Vault server KV Secrets Engine v1 HTTP APIs 进行通信。由于大多数企业解决方案倾向于在生产环境中使用 KV Secrets Engine - Version 1,在APISIX-Vault 支持的初始阶段,我们只使用这个版本。在以后的版本中,我们将增加对 K/V - Version 2 的支持。

使用 Vault 而不是 APISIX etcd 后端的主要顾虑是在低信任度环境下的安全问题。因为 Vault 访问令牌是小范围的,可以授予 APISIX server 有限的权限。

配置 Vault

本节分享了在 Apache APISIX 生态系统中使用 Vault 的最佳实践。如果你已经有了一个具有必要权限的 Vault 实例在运行,请跳过本节。

第1步:启动 Vault server

在这里,你有多种选择,可以自由选择 docker、预编译二进制包或从源代码构建。至于与 Vault server 的通信,你需要一个 Vault CLI 客户端。请运行以下命令启动 server:


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  API7.ai 技术团队
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Apache APISIX 集成 Open Policy Agent

				
			

			

				

					ApacheAPISIX的博客
				

				

					02-23
					
					464
					
				

			

		

		

			
				
本文为大家描述了 Apache APISIX 和 Open Policy Agent 对接的详细操作步骤,希望通过本文可以让大家对于在 Apache APISIX 中使用 Open Policy Agent 有了更清晰的理解,方便后续进行上手实操。

			
		

	



                

              
                



	

		

			

				
					
API 网关 Apache APISIX 集成 CNCF OpenFunction

				
			

			

				

					ApacheAPISIX的博客
				

				

					10-12
					
					481
					
				

			

		

		

			
				
本文为大家介绍了 Apache APISIX插件的功能与使用步骤,更多关于插件说明和完整配置列表,可以参考官方文档。目前,APISIX 社区也在开发其他 Serverless 插件以便与更多云服务进行集成。如果你对此类集成项目感兴趣,也欢迎随时在中发起讨论,或通过邮件列表进行交流。

			
		

	



                


  
              

                


	

		

			

				
					
三.使用HashiCorp Vault工具管理数据库

					
最新发布

				
			

			

				

					Java
				

				

					05-16
					
					1218
					
				

			

		

		

			
				
ubuntu安装使用HashiCorp Vault工具管理数据库

			
		

	





	

		

			

				
					
【翻译】教程。如何用Hashicorp Vault设置外部秘密

				
			

			

				

					超级码力
				

				

					01-27
					
					364
					
				

			

		

		

			
				
External Secrets是一个开源的Kubernetes运营商,它与AWS Secrets Manager、HashiCorp Vault、Google Secret Manager和Azure Key Vault等外部秘密管理系统集成,旨在实现将秘密从外部API同步到Kubernetes。该项目是作为 最近宣布的 CS实验室的一部分来管理的。

在本系列的前两篇文章中,我们研究了用AWS...

			
		

	



		

			
		



	

		

			

				
					
Apisix安全篇』探索Apache APISIX身份认证插件:从基础到实战

				
			

			

				

					老陈聊架构
				

				

					03-27
					
					1405
					
				

			

		

		

			
				
🌐 本文深入探讨了Apache APISIX在现代微服务架构中实现API安全的关键环节——身份认证。文章首先强调了API网关在连接API消费者和提供者中的作用,并介绍了APISIX支持的多种身份授权插件,如Key Authentication、Basic Authentication、JWT Authentication等。

			
		

	





	

		

			

				
					
APISIX 之 Admin API入门使用

				
			

			

				

					郝南过的博客
				

				

					01-09
					
					1295
					
				

			

		

		

			
				
是基于 Nginx/OpenResty + Lua 方案打造的一款动态实时高性能的云原生API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。

			
		

	





	

		

			

				
					
ansible-tower-hashicorp-vault:Ansible Tower与Hashicorp Vault集成的快速演示

				
			

			

				

					05-10
				

			

		

		

			
				
ansible-tower-hashicorp保险库Ansible Tower与Hashicorp Vault集成的快速演示。 基于上的教程。要求流浪汉2.1.1 vagrant plugin install vagrant-hostmanager 从将Vault 0.10.1到git项目目录使用具有Ansible 2.5.2...

			
		

	





	

		

			

				
					
vault-backup:将Hashicorp Vault转储到文件中。 不保证一致

				
			

			

				

					05-24
				

			

		

		

			
				
Hashicorp Vault转储到文件中。 不保证是一致的。 转储是将密钥注入库中的命令的一种形式,因此以后使用它还原到不同的库时非常方便。  vault write /secret/dev/ \  test1_user= ' test_pass ' vault write /...

			
		

	





	

		

			

				
					
spring-cloud-vault:与HashiCorp Vault的配置集成

				
			

			

				

					05-13
				

			

		

		

			
				
Spring Cloud Vault Config为分布式系统中的外部化配置提供了客户端支持。 使用您可以在中心位置管理所有环境中应用程序的外部机密属性。 保险柜可以管理静态和动态机密,例如远程应用程序/资源的用户名/密码,并为...

			
		

	





	

		

			

				
					
spring-vault:为HashiCorp Vault提供熟悉的Spring抽象

				
			

			

				

					02-04
				

			

		

		

			
				
总的来说,Spring-Vault是Java开发者与HashiCorp Vault交互的理想桥梁,它将复杂的密钥管理和安全操作融入到Spring生态中,使得安全成为开发流程的一部分,而不只是一个额外的顾虑。通过使用Spring-Vault,我们可以...

			
		

	





	

		

			

				
					
scala-vaultHashicorp Vault Scala库

				
			

			

				

					02-05
				

			

		

		

			
				
Scala-Vault 是一个专门为 Scala 开发者设计的库,它提供了与 HashiCorp安全工具 Vault集成Vault 是一款强大的工具,用于管理和获取敏感信息,如API密钥、密码、证书等,同时确保了数据的安全性和访问控制。...

			
		

	





	

		

			

				
					
Apisix入门篇』从零到一掌握Apache APISIX:架构解析与实战指南

				
			

			

				

					老陈聊架构
				

				

					03-26
					
					4603
					
				

			

		

		

			
				
🌐 深入Apache APISIX架构: 从Nginx到OpenResty,再到etcd,一站式掌握云原生API网关的构建精髓,领略其层次化设计的魅力。

🔌 核心组件全解析: 路由、上游、服务、消费者、插件...这些不再是抽象的概念,而是你API管理中的强大工具。
🛠 路由配置实操: 通过Admin API,轻松创建上游、配置路由,实现请求的精准转发,让理论与实践完美结合。
🌟 APISIX的独特优势: 动态路由、热插拔插件、云原生兼容性...这些特性让APISIX在API网关领域独树一帜。

			
		

	





	

		

			

				
					
APISIX相关组件,插件的理解说明

				
			

			

				

					I_T_T_I的博客
				

				

					08-12
					
					1429
					
				

			

		

		

			
				
APISIX相关组件,插件的理解说明

			
		

	





	

		

			

				
					
APISIX简介与应用

					
热门推荐

				
			

			

				

					坎坎坷坷
				

				

					04-29
					
					2万+
					
				

			

		

		

			
				
APISIX 是一个云原生、高性能、可扩展的微服务 API 开源网关,基于OpenResty(Nginx+Lua)和etcd来实现,对比传统的API网关,具有动态路由和热插件加载的特点。系统本身自带前端,可以手动配置路由、负载均衡、限速限流、身份验证等插件,操作方便。APISIX是用Lua语言开发,语言相对简单,容易上手,同时可以按自己的需求进行系统的二次开发以及开发自己的插件,目前APISIX已...

			
		

	





	

		

			

				
					
云原生安全-更安全的密文管理 Vault on ACK

				
			

			

				

					qq_44005305的博客
				

				

					02-15
					
					204
					
				

			

		

		

			
				
完备的审计日志;当用户希望在k8s pod的业务逻辑中与Vault服务端通讯,获取需要的secrets时,首先Vault会对这个pod中的请求进行认证,那么这个pod中的Vault请求认证凭据应该如何获取呢?另外Vault的默认安装也集成了其控制台的安装,通过负载均衡服务或ingress路由的方式我们可以在公网访问其UI,在vault pod的日志中我们可以找到登录使用的root token,在控制台中可以方便的设定与存储引擎和认证方式的对接,同时还可以进行基于策略的访问控制配置。

			
		

	





	

		

			

				
					
APISIX各种API使用总结

				
			

			

				

					l5678go的博客
				

				

					10-06
					
					8652
					
				

			

		

		

			
				
Route

@curl -X GET http://127.0.0.1:9080/apisix/admin/routes -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1'

@curl -X DELETE http://127.0.0.1:9080/apisix/admin/routes/5 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1'

@curl -X PUT http://127.0.0.1:9080

			
		

	





	

		

			

				
					
Apache APISIX 集成 Consul KV,服务发现能力再升级

				
			

			

				

					ApacheAPISIX的博客
				

				

					03-08
					
					1241
					
				

			

		

		

			
				
本文的前半部分介绍了 Apache APISIX 如何配合 Consul 实现基于 Consul KV 的服务发现注册中心,解决服务信息管理维护的问题。 
而在后半部分则着重介绍了如何在 Docker 中搭配 Consul 使用 Apache APISIX 的操作流程。当然,在实际场景中的应用,还需要各位读者根据业务使用场景和已有的系统架构具体分析。

			
		

	





	

		

			

				
					
Hadoop 未授权访问漏洞总结

				
			

			

				

					qq_45746681的博客
				

				

					10-05
					
					5965
					
				

			

		

		

			
				
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录前言一、Hadoop 未授权访问漏洞是什么?二、复现1.搭建环境2.复现

前言
记录下常见的未授权访问漏洞
一、Hadoop 未授权访问漏洞是什么?
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
二、复现
1

			
		

	





	

		

			

				
					
APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)

				
			

			

				

					ApacheAPISIX的博客
				

				

					04-22
					
					451
					
				

			

		

		

			
				
问题描述
jwt-auth 插件存在泄露用户秘钥的安全问题,因为从依赖库 lua-resty-jwt 返回的错误信息中包含敏感信息。
影响版本
Apache APISIX 2.13.0 及其之前全部版本
解决方案


请立即升级至 Apache APISIX 2.13.1 及以上版本。


如果不方便更新版本,请在 Apache APISIX 上安装对应版本的补丁包,实现重构,以绕过该漏洞(补丁包安装且生效后,调用方接收到的错误信息将为修复后的错误信息,不再包含敏感信息)。


以下补丁包适用于 LTS 2

			
		

	





	

		

			

				
					
Enterprise Vault__审核__14.0-37.pdf

				
			

			

				

					08-16
				

			

		

		

			
				
审计(Audit)功能是 Enterprise Vault 的一个重要组件,它允许管理员对系统的活动进行监控和记录,以确保数据保护、法规遵从性和安全性。  在 Enterprise Vault 14.0 版本中,审计功能得到了增强,提供了更详细和...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
API7.ai 技术团队

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值