vault是什么
vault是一个密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能。
一个系统可能需要访问多个带密码的后端:例如数据库、通过API keys对外部系统进行调用,面向服务的架构通信等等。要将众多系统中的用户和权限对应起来已经非常困难,加上提供密钥滚动功能、安全的存储后端还要有详细的审计日志,自定义解决方案几乎不太可能。这也就是vault存在的意义。
vault的特性
(1)安全的存储后端:任意的键值对密码都能存储在vault。vault在把数据写入存储后端之前会先将数据加密,所以即使你直接读取存储后端数据也无法拿到真正的数据。vault的存储后端可以是文件、Consul、etcd等等
(2)动态密码生成:vault能够按需生成某些后端的密码,例如:AWS、SQL数据库等等。例如当一个应用需要访问AWS的S3 bucket,应用向vault请求访问S3 bucket的证书,vault能按需生成一个指定权限的AWS密钥,并且能够根据租期自动销毁这个密钥。
(3)数据加密:vault可以在不对数据存储的情况下,对数据进行加密和解密。安全团队只需定义好加密方法,开发将加密后的数据存储在例如SQL之类的后端即可,而无需设计自己的加密方式。
(4)租期和续租:在vualt里面,全部的密码都可以跟租期联系起来。在租期结束时,vault会自动销毁对应的密码。客户端能够通过renew-API进行续租。
(5) 销毁:vault本身支持对密码进行销毁,不仅支持销毁单个密码,还支持销毁与之关联的密码。比如指定某个用户读取的全部密码,或者特定类型的密码。销毁功能能够在密码被泄露的时候辅助锁定系统。
vault的使用场景
(1) 作为集中存储各个服务器账号密码的服务器。目前我们有服务器需要访问到有密码的后端的时候,有几种方案:
- export到环境变量
- 写死到代码里面
- 上线的时候使用自动化工具对变量进行替换
第一种方案带来的问题是使用麻烦,后两种方案带来的问题是维护和变更麻烦。比如DB密码泄露,需要修改密码,首先DBA修改密码,然后通知到应用,应用再做代码上的变更。如果使用vault的话,DBA只要在vault上面修改好密码之后通知应用重新从vault拉取最新密码就行了。
(2)为每一个操作单位动态分配账号
比如过去我们想要对某些敏感操作进行审计,但是由于生成账号比较麻烦,所以存在公用账号的情况。vault支持为某些后端动态生成账号的功能,比如SQL,当某个应用向vault请求账号密码的时候,vault能够为每次请求生成一个独一无二的SQL账号密码。
(3) 作为证书服务器
vault能够作为CA服务器,根据请求信息自动颁发证书。并且提供在线CA和CRL的功能。不过目前只能在vault里面新生成ROOT-CA,不能导入原有的ROOT-CA。
(4)作为OAUTH服务器
vault支持多种认证后端,比如github、kubernetes、账号密码等等。vault能够将这些账号关联成一个用户,在用户认证之后返回一个token供用户使用。
保险库是安全访问秘密的工具。秘密是您想要严格控制访问的任何东西,例如API密钥、密码或证书。Vault提供了对任何秘密的统一接口,同时提供严格的访问控制并记录详细的审计日志。
2210
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
