vault架构
Vault功能
-
密码的安全存储。Vault把密码以加密的形式存储起来,黑客拿到了密文,也很难解密。这个是最基本的需求。
-
动态密码。一般我们创建一个db,会创建一个新的role和db关联,为此要创建密码。这样的密码越复杂越好,反正不需要人来记。Vault能够帮你动态生成这些密码。更舒服的是,动态密码可以设置生存周期,过期后生成新密码,旧密码失效,进一步在密码泄漏出去后增加了安全性。
-
on-the-fly加解密。既然都做了密码相关的事情,Vault顺带着又提供了加解密的API。类似于信用卡资料这种极度敏感的信息都可以使用其加密存储。而使用的时候可以在内存中直接完成解密,用完销毁,尽可能少地暴露敏感信息。
-
Audit log。由于集中管理密码,Vault能记录任何访问密码的行为供日后审核。这是个非常重要的功能,否则密码遭到误用滥用或者被黑客使用,你都还蒙在谷里呢。
术语
Eng | 说明 |
---|---|
Storage Backend | 存储后端 负责存储加密后的数据 |
Barrier | 屏障,vault的安全区域的保障 |
Secret Backend | 密码后端,如mysql每次生成mysql新用户 |
Audit Backend | 审计后端,如日志管理 |
Credential Backend |