管理application的secret,在哪个level呢

已于 2024-03-13 15:39:48 修改
阅读量386 收藏 6
点赞数 7
文章标签: 安全架构 秘钥管理
于 2024-03-13 15:39:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quandaquan/article/details/136681370
版权
本文探讨了访问控制中的秘钥管理层次,从无保护的level-2到使用专业秘钥管理器如HashiCorpVault的level-4,强调了安全级别应根据数据资产的重要性选择,寻求安全性和便利性的平衡。
摘要由CSDN通过智能技术生成

从安全设计来看,访问控制是非常重要的。除非是完全公开的网页,可以没有任何限制的访问

在实施访问控制的应用application中呢,你的秘钥管理控制在哪个level呢

level -2 没有访问控制,注意这是-2 负二,不是level 2

level-1 所有的密码都是password,这个比level-2 强点,但也没强到哪里去,随便一猜就能猜到了。。。

level 0 hardcode everywhere 导出硬编码,写个代码里面各种token key password,这会是非常大的问题,代码传到git后就完成不受控了啊 谁都可能下载代码,然后这个secret就到处都是,想删都不知道去哪里删,坏菜不。。。在代码review的时候尝尝会看到这种问题,不能忍。。

level 1 pull out 到config文件中,只能说好过硬编码。。。把secret都放到配置文件或者环境变量里了,但仍然有风险,拿到config还是明文的secret啊。。。

level 2 加密config file配置文件,看起来安全多了,still 加密的key怎么存储?谁在什么时候访问了,没有logging 没有audit,,不够安全

level 3使用专用的secret manager来管理secret

Secrets Manager可以帮助改善安全态势,不再需要在应用程序源代码中硬编码凭据。将凭据存储在Secrets Manager中有助于避免检查您的应用程序或组件的人可能对其进行的攻击。可以将硬编码的凭据替换为对Secrets Manager服务的运行时调用,以便在需要凭据时动态检索凭据。

secret仅在需要消费它的时候用,平时就不可见了 ,access by demand 更安全了呢。。。

level 4 dynamic ephemeral credentials 

相比于leve3哈,秘钥不能一直用,得有个效期呢,秘钥需要更新轮换,请上专业的hashicrop vault。有secret managment,数据加密,,,,,,

Vault by HashiCorp (vaultproject.io)

安全应该做到哪个level? depends,看数据资产的情况,公开数据完全没必要上level 4了是吧

在security和convenience 中选个平衡点吧 

犬大犬小
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spiderkeeper 管理scrapy爬虫(定时执行)
编码时光
02-16 1241
文章目录一、关于 spiderkeeper安装二、使用1、运行 spiderkeeper2、项目生成.egg文件3、启动 scrapyd三、管理项目1、访问管理界面2、创建项目3、上传刚生成的 egg 文件4、查看爬虫四、管理任务1、添加定时任务2、查看任务状态五、服务器部署1、单台服务器2、多台服务器六、更改用户名、密码、端口号1、config.py 更改用户名&密码2、run.py 更改端口号参考 一、关于 spiderkeeper Github: https://github.com/Dor
Laravel框架运行出错提示RuntimeException No application encryption key has been specified.解决方法
10-17
在使用 Laravel 框架开发 Web 应用时,可能会遇到一个常见的错误提示:“RuntimeException No application encryption key has been specified.” 这个错误意味着你的 Laravel 应用缺少一个用于加密数据的关键配置,...
k8s——secret配置资源管理
sea_bunch的博客
06-07 1410
Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
Argo CD ApplicationSet 新人上手实践
爱死亡机器人
03-06 796
是“App of Apps”部署模式的演变。它采用了“App of Apps”的理念并将其扩展为更加灵活并处理广泛的用例。ArgoCD ApplicationSets 作为自己的控制器运行,并补充了 Argo CD 应用程序 CRD 的功能。使用单个清单来定位多个 Kubernetes 集群。使用单个清单从单个或多个 git 存储库部署多个应用程序。改进对单体存储库模式(也称为“monorepo”)的支持。这是您在单个存储库中定义许多应用程序和/或环境的地方。
k8s上使用ConfigMap 和 Secret
清瞳清的博客
06-16 999
展示如何在 Kubernetes 中使用 ConfigMap 和 Secret 来管理一个 web 应用的配置和数据库凭证。
SpringBoot application.properties和application.yml配置详解
互联网的修罗场
09-11 1万+
#SPRING CONFIG(ConfigFileApplicationListener) spring.config.name =#配置文件名(默认 为 'application' ) spring.config.location =#配置文件的位置 # 多环境配置文件激活属性 spring.profiles.active=dev #加载application-dev...
Spring-Boot (二) application.properties配置文件内容
热门推荐
t0m的专栏
11-10 7万+
Spring-Boot官方开发指导文档 默认创建spring-boot项目后,会在resources目录下生成一个空的application.properties配置文件,springboot启动时加载该配置文件。 application.properties(或者application.yml)中包含系统属性、环境变量、命令参数这类信息。 下面简要说一部分spring-boot项目中a
SpringBoot重点详解--application.properties配置项
pengjunlee的博客
11-21 4万+
原文地址:https://docs.spring.io/spring-boot/docs/current/reference/html/common-application-properties.html # =================================================================== # COMMON SPRING BOOT PRO...
spring boot 中 application.properties 配置详解
Java
05-22 6633
spring boot项目配置已是非常简单了,只要在application.properties 或者 application.yml中简单配置就能够开发,但是具体的配置意义是什么?这里是我从官网找到一份详解,下面是翻译过后的,我也贴在下面供大家参考! #---------------------------------------- #CORE PROPERTIES #----------...
SpringBoot 配置文件 application.yml(application.properties) 配置大全
真是6的不行的博客
05-14 6051
参考网址:https://docs.spring.io/spring-boot/docs/current/reference/html/common-application-properties.html 可以在application.properties文件内部application.yml,文件内部或命令行开关中指定各种属性。本附录提供了常见Spring Boot属性的列表以及对使用它们的基础...
mongodb-field-level-encryption:使用Spring Boot 2在MongoDB中设置字段级加密
03-28
在Spring Boot的`application.properties`中配置MongoDB连接,并启用字段级加密: ``` spring.data.mongodb.uri=mongodb://localhost:27017/mydb spring.data.mongodb.fieldLevelEncryption.enabled=true ...
orient-express:无服务器网站部署在AWS Lambda上
05-03
如何在本地测试 source venv/bin/activate ./start.sh 如何部署 请包括实例文件夹并以以下格式设置AWS环境 DEBUG = True # Turns on debugging features in Flask BCRYPT_LEVEL = 12 # Configuration for the Flask-...
kafka-manager-1.3.3.15
12-10
4. `application.logLevel`:控制日志级别,可设置为DEBUG、INFO、WARN或ERROR。 配置完成后,通过运行`bin/kafka-manager`命令启动Kafka-Manager。默认情况下,它将在本地8080端口上运行,可以通过浏览器访问`...
config_files:我的配置文件
05-25
- 配置文件有时会引用环境变量,如`ENV['SECRET_KEY_BASE']`,在Rails中用于安全的session管理。用户可能会有一个单独的文件(如`.env`或`.env.rb`)来存放这些敏感信息,确保不在版本控制系统中泄露。 5. **日志...
【中项】系统集成项目管理工程师-第4章 信息系统架构-4.7安全架构
m0_66540684的博客
07-23 893
在当今以计算机、网络、软件和数据为载体的数字服务,几乎成为人类社会生产与生活等赖以生存关键基础。与之而来的计算机犯罪呈现指数上升趋势,因此,信息安全保障显得尤为重要,而满足这些诉求,离不开好的安全架构设计。安全保障以风险和策略为基础,在信息系统的整个生命周期中,安全保障应包括技术、管理、人员和工程过程的整体安全,以及相关组织机构的健全等。当前,信息与数字技术存在多重威胁,我们要从系统的角度考虑整体安全防御方法。
b050闲置图书分享-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
本次开发的闲置图书分享平台实现了收货地址管理、字典管理、公告管理、留言板管理、图书管理、图书收藏管理、图书评价管理、图书订单管理、用户管理管理管理等功能。系统用到了关系型数据库中王者MySql作为系统的数据库,有效的对数据进行安全的存储,有效的备份,对数据可靠性方面得到了保证。并且程序也具备程序需求的所有功能,使得操作性还是安全性都大大提高,让闲置图书分享平台更能从理念走到现实,确确实实的让人们提升信息处理效率。 管理图书的数据,此页面主要实现图书的增加、修改、删除、查看的功能。公告信息管理页面提供的功能操作有:新增公告,修改公告,删除公告操作。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。
《大学生职业生涯规划与就业指导》大一阶段课程作业
最新发布
07-24
《大学生职业生涯规划与就业指导》大一阶段课程作业
开题报告潮汕特产直销系统 已通过开题答辩的.doc
07-23
随着互联网的高速发展,人们的生活方式发生了翻天覆地的变化,在过去,人们想要购买很远地方的东西会非常麻烦,因为是通信和交通都不是十分的方便,而现在网络购物成为了人们日常生活中不可或缺的一部分。在这样的背景下,互联网与传统行业的融合已经成为了一种不可阻挡的趋势。对于中国特色的潮汕特产来说,这一趋势也带来了巨大的变革和发展机遇[1]。
JSP中的application与cookie管理用户登录
"河南经贸职业学院信息管理系的课程讲解了application和cookie在Web开发中的应用。" 在Web开发中,特别是在JavaServer Pages (JSP) 中,管理和验证用户登录状态是关键任务。本课程着重回顾了如何使用session和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值