hashcorp Vault 如何保护数据库凭证?

【问题标题】:How does hashicorp Vault work for securing DB credentials?hashcorp Vault 如何保护数据库凭证?
【发布时间】:2017-09-07 18:42:00
【问题描述】:

我正在研究 vault 以保护各种 Web 应用程序使用的数据库凭据。我查看了一些 Youtube 视频、幻灯片分享,甚至下载了 Vault 进行试验。我无法完全理解它。Vault如何保护诸如使用令牌对Vault进行身份验证的Web应用程序之类的凭据?我假设 Apache 进程必须拥有保管库令牌(用户令牌,而不是根令牌),以便它可以访问它正在运行的应用程序的机密。这似乎会暴露 Apache 进程在应用程序受损时可以访问的任何秘密。我在这里没有看到大的胜利,所以我一定错过了很多。

【问题讨论】:

    标签: hashicorp-vault


    【解决方案1】:

    简而言之,Vault 支持身份验证后端,然后允许您生成令牌。令牌应被视为临时访问,与密钥不同。

    特别是,Vault 支持使用许多不同系统进行身份验证,以根据需要生成动态机密和凭据。这是有据可查的here

    在安全性方面,我们的想法是将authentication backend 作为主要对象,然后生成令牌。您说硬编码令牌是一种安全风险是正确的。一旦动态生成,它们应该具有严格的权限和较短的 TTL。 Vault 使这很容易,因为您可以使用 ACL 定义令牌的范围。

    【讨论】:

    • 谢谢。我没有意识到令牌是“动态的”。那么整个事情的功能很像OTP流程吗?每次应用程序请求访问时,Vault 都会在数据库中创建临时凭据(并在以后按设定的时间间隔清除它们)?
    猜你喜欢
    • 2021-07-29
    • 1970-01-01
    • 1970-01-01
    • 2018-09-11
    • 1970-01-01
    • 2021-11-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode