二、vault - vault的架构

最新推荐文章于 2024-06-12 09:58:41 发布
最新推荐文章于 2024-06-12 09:58:41 发布
阅读量6.6k 收藏 3
点赞数 1
分类专栏: vault 文章标签: 密码 vault
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zrk1000/article/details/72670080
版权

前面对vault的使用做了简单使用,有了具体化的认识,下面对vault进行详细的说明。

vault架构:
术语:

--
Storage Backend存储后端 负责存储加密后的数据
Barrier屏障,vault的安全区域的保障
Secret Backend密码后端,如mysql每次生成mysql新用户
Audit Backend审计后端,如日管理
Credential Backend凭证后端,用于验证连接到vault的用户或应用程序
Client Token客户端令牌
Secret密文,秘密信息
Servervault服务
Expiration Mgr租期管理器,过期管理
Rollback Mgr回滚管理器 ,用户不可见
Token Store令牌存储
core负责处理api请求请求,获取secret backend中密文返回,并加上lease ID ,用户可以调用api续租或销毁密文
policy store策略存储
System backend系统后端

高级概述:
vault的架构如下图:
这里写图片描述

安全屏障Barrier内的组件都是安全的,除了Storage Backend和HTTP API之外,所有其他组件都在安全屏障Barrier内。

vault启动后,处于封闭状态,操作vault必须先解封,解封vault需要使用初始化时生成的多个密钥,vault初始化后需要使用加密钥匙(encryption key)访问数据,加密钥匙(encryption key)由主密钥(master key)提供保护;默认情况下,vault使用“ Shamir’s secret sharing algorithm ”算法把主密钥(master key)分割成5股,称为(key shares),任何3股(key shares)可重建的主密钥(master key);
这里写图片描述
注:
Shamir’s secret sharing algorithm : Shamir’s 秘密共享算法
Key Shares : 分割秘钥 任意三个可以构建Master Key
Master Key : 主密钥
Encryption key : 加密秘钥,用于数据的读写

分割秘钥的数量和所需的最小阈值都可以指定。此功能可以被禁用,主密钥可直接访问未密封的vault服务,一旦库获取encryption key,就能够解密存储后端(storage backend)的数据,进入起封状态。启封后,vault加载所有的审计后端(Audit Backend )、凭证后端(Credential Backend )和密文后端(Secret Backend)

Vault中的各种后端的配置都存储在存储库(Storage Backend),因为这些都是敏感数据。只有具有正确权限的用户才能够修改,也就是说他们不会处于屏障之外。由于他们存储在存储库中,对他们的任何更改都被ACL(Access Control List)控制,并被审计记录日志。

客户端首次连接到vault,需要进行身份验证。vault提供了可配置的凭证后端(Credential Backend),拥有灵活的身份验证机制。如对人类友好的用户名/密码认证方式,或使用第三方运营商的认证,如GitHub认证;应用程序可以使用公钥/私钥或令牌验证(token)。身份验证请求流经核心(core)和凭证后端(Credential Backend),如果请求是有效,则返回其策略列表(Policies )。

策略由ACL方式定义。例如,“root”策略是内置的,允许访问所有资源。您可以创建任意数量的策略以及路径的细粒度的权限控制。vault操作使用白名单模式,也就是说,除非通过策略显式授予权限,否则任何访问操作都是不允许的。一个用户可能有多个策略,是否可以操作由这些策略决定。策略由内部的策略库(policy store)存储和管理。策略库(policy store)是通过系统后端(System backend)操作的,其始终是安装在sys /下。

身份验证后由凭证后端(credential backend)提供了一组适用的政策,由token store为客户端生成一个新的令牌,并存储和管理起来。此标记发送给客户端,并用于后续请求使用。类似登录网站时用的cookie。客户端标记可能有一个与之相关的租赁凭证,是否有租赁凭证取决于凭证后端(credential backend )配置。意味着客户端令牌可能需要定期更新,以免失效。

身份验证后,则使用令牌进行请求。令牌用于验证客户端和加载相关策略。策略用于对请求进行授权,然后将请求路由到指定的密文后端(Secret Backend),请求的处理由后端的类型决定。如果后端返回密文,核心寄存器(core)会管理并附加一个租赁id(lease ID)。租赁id用做更新或销毁密文。如果客户允许租赁id到期,租期管理器(
Expiration Mgr)自动销毁这个密文。

vault核心将请求和响应的日志委托给audit broker,将日志记录到审计后端。请求流程以外,核心保持在后台运行。租赁管理是比较重要的,因为它允许客户令牌到期或密文自动撤销。此外,vault使用回滚管理器基于日志记录处理某些失败的用例。这个操作是透明的和用户不可见的。

zrk1000
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Vault系列之:了解Vault应用场景,安装Vault详细步骤,使用Vault创建管理密钥详细案例
zhengzaifeidelushang的博客
08-11 125
安全存储敏感数据:Vault可以用来安全存储敏感数据,例如数据库凭据、API密钥、加密密钥等。Vault提供了密钥管理、加密和解密的功能,可以确保敏感数据的安全存储和访问。 - 动态秘钥生成和管理:Vault可以生成和管理动态秘钥,例如用于身份验证、加密和解密等。Vault的动态秘钥功能可以确保每个用户或应用程序都有唯一的秘钥,并且可以定期轮换秘钥以增加安全性。 - 访问控制和权限管理:Vault可以用来管理访问控制和权限,例如限制用户或应用程序对特定资源的访问权限。Vault提供了身份验证、授权和审计
Vault介绍
流浪法师的博客
05-22 1151
Vault 是一个广泛使用的开源工具,用于安全地存储和管理机密信息,如密码、证书、API 密钥和访问令牌等,从而提高安全性。
Vault架构
lucca的专栏
03-03 869
vault架构 Vault功能 密码的安全存储。Vault密码以加密的形式存储起来,黑客拿到了密文,也很难解密。这个是最基本的需求。 动态密码。一般我们创建一个db,会创建一个新的role和db关联,为此要创建密码。这样的密码越复杂越好,反正不需要人来记。Vault能够帮你动态生成这些密码。更舒服的是,动态密码可以设置生存周期,过期后生成新密码,旧密码失效,进一步在密码泄漏出去后增加了安...
oracle-组件vault
weixin_34390996的博客
08-22 126
  ===================== lsnrctl stopshutdown immediate;emctl stop dbconsolecd $ORACLE_HOME/rdbms/libmake -f ins_rdbms.mk dv_off ioracle//禁用vaultmake -f ins_rdbms.mk dv_on lbac_on ioracle//启用vault   ht...
Data Vault初探() —— 构建及参考原则
wzy0623的专栏
12-08 9580
摘自:《下一代数据仓库模型Data Vault的研究及其应用》         Data Vault模型的构建         在Data Vault模型中,各个实体组件有着严格、通用的定义与准确、灵活的功能描述,这不但使得Data Vault模型能够最直观、最一般地反映数掘之间内含的业务规则,同时也为构建Data Vault模型提供了一致而普遍的方法。 简单地讲,Data Vault
Autodesk Vault数据管理平台的介绍
WeShining的专栏
09-02 2696
Autodesk Vault作为Autodesk所
kms-vault-operator:Kubernetes运营商管理KMS加密的Vault机密
05-23
KMS保险柜操作员 保险柜用户密码验证方法( --vault-authentication-method=userpass ) ...多架构图像 该项目的重要注意事项 Kubernetes命名空间和Vault命名空间 多个秘密写入同一位置 没有在目标
data-vault-modeling-文档.pdf
11-18
- 定期评估和优化Data Vault架构,以应对业务环境的变化。 6. **挑战与注意事项**: - Data Vault模型的复杂性可能导致学习曲线较陡峭,需要专门的培训和理解。 - 查询性能可能受到增加的连接操作的影响,需要...
azure-iiot-opc-vault-service:Azure工业物联网OPC保管库服务
02-04
尽管"azure-iiot-opc-vault-service"项目已被归档,但其代码库(如azure-iiot-opc-vault-service-main)仍可供参考和学习,特别是对于那些希望了解如何在Azure上实现OPC UA安全性的开发者。项目归档并不意味着完全弃...
vault-fe
03-05
这个文件通常是项目的核心,从中可以了解到整个应用的架构和工作流程。 为了深入理解`Vault-fe`项目,我们需要查看源代码,了解具体的实现细节,包括如何定义GraphQL类型,解析器是如何工作的,以及如何处理支付...
pci-paas-webapp-ase-sqldb-appgateway-keyvault-oms:Azure安全和合规性蓝图-自动化pci-paas-webapp-ase-sqldb-appgateway-keyvault-oms
01-30
标题中的“pci-paas-webapp-ase-sqldb-appgateway-keyvault-oms”是一个具体的Azure解决方案架构,它强调了在Azure平台上构建符合PCI-DSS(Payment Card Industry Data Security Standard)标准的PaaS(Platform as ...
一、vault - 安装及启动
zrk1000的专栏
05-23 8745
简介:HashiCorp Vault是一个私密信息管理工具(A tool for managing secrets),提供键值的方式保存私密信息。 私密信息:如数据库用户名密码、ssl证书、用户敏感信息等
私密信息管理工具 Vault 快速入门
infinilabs的博客
08-23 328
Vault 是一个基于身份的秘密和加密管理系统。秘密是您想要严格控制访问的任何内容,例如 API 加密密钥、密码和证书。Vault 提供由身份验证和授权方法控制的加密服务。使用 Vault 的 UI、CLI 或 HTTP API,可以安全地存储和管理、严格控制(限制)和审核对机密和其他敏感数据的访问。
工具总结篇——vault
phantom_111的博客
05-16 2943
Vault是用来安全的获取秘密信息的工具,它可以保存密码、API密钥、证书等信息。Vault提供了一个统一的接口来访问秘密信息,其具有健壮的访问控制机制和丰富的事件日志。Vault解决多用户不同身份访问关键信息时,授权的复杂问题。Vault为安全的存储、管理审计日志提出一个解决方案 vault提供特性描述数据加密 :vault 能够在不存储数据的情况下对数据进行加密、解密。开发者便可以存储加密后的数
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 4351
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
vault-服务器密码/证书管理工具
weixin_34014555的博客
01-23 989
vault介绍 vault是什么 vault是一个密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能。 一个系统可能需要访问多个带密码的后端:例如数据库、通过API keys对外部系统进行调用,面向服务的架构通信等等。要将众多系统中的用户和权限对应起来已经非常困难,加上提供密钥...
vault hashicorp
davidliuzkw的博客
01-23 1635
vault是一个server,其他地址可以通过api,cli或者envconsole访问这个server以获取加密后的解密的值 整个架构:secret存于secret angine内(可以是k/v,aws,gcp等),在vault内是一个secret的路径,role保存了该role可以访问哪个secret以及都有啥权限,使用者首先要与vault授信,然后拿到roleid和secretid,通过俩...
Vault部署及创建密钥管理服务
PySean的博客
06-26 3281
安装 源码编译安装(需要Golang和Git环境,具体步可骤参见网上) 源码下载到GOPATH git clone https://github.com/hashicorp/vault 进入代码目录,编译(因为编译需要安装相关库,所以需要使用代理) cd $GOPATH/src/github.com/hashicorp/vault/ make dev 预编译的Vault进制...
推荐开源项目:vault-init——自动化管理HashiCorp Vault的得力助手
最新发布
gitblog_00031的博客
06-12 260
推荐开源项目:vault-init——自动化管理HashiCorp Vault的得力助手 项目地址:https://gitcode.com/kelseyhightower/vault-init 在当今云计算时代,安全地存储和管理敏感数据变得至关重要。【vault-init】正是为此而生,一个专为简化HashiCorp Vault初始化与解封流程设计的开源工具,尤其适用于**Google Cloud...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值