文章出處

HashiCorp Vault是一款企業級私密信息管理工具。說起Vault,不得不提它的創造者HashiCorp公司。HashiCorp是一家專注于DevOps工具鏈的公司,其旗下明星級產品包括Vagrant、Packer、Terraform、Consul、Nomad等,再加上Vault,這些工具貫穿了持續交付的整個流程。

HashiCorp Vault在2016年四月進入了ThoughtWorks技術雷達,位于Tools分類,處于ACESS級別。在2017年3月份最新一起Tech Radar中,HashiCorp Vault已經處于TRIAL級別。

https://www.thoughtworks.com/radar/tools/hashicorp-vault

為什么要使用HashiCorp Vault?

在企業級應用開發過程中,團隊每時每刻都需要管理各種各樣的私密信息,從個人的登陸密碼、到生產環境的SSH Key以及數據庫登錄信息、API認證信息等。通常的做法是將這些秘密信息保存在某個文件中,并且放置到git之類的源代碼管理工具中。個人和應用可以通過拉取倉庫來訪問這些信息。但這種方式弊端很多,比如跨團隊分享存在安全隱患、文件格式難以維護、私密信息難以回收等。

尤其是微服務大行其道的今天,如何讓開發者添加私密信息、應用程序能輕松的獲取私密信息、采用不同策略更新私密信息、適時回收私密信息等變得越來越關鍵。所以企業需要一套統一的接口來處理私密信息的方方面面,而HashiCorp Vault就是這樣的一款工具。

HashiCorp Vault的特性

HashiCorp Vault作為集中化的私密信息管理工具,具有以下特點:

存儲私密信息。 不僅可以存放現有的私密信息,還可以動態生成用于管理第三方資源的私密信息。所有存放的數據都是加密的。任何動態生成的私密信息都有租期,并且到期會自動回收。

滾動更新秘鑰。用戶可以隨時更新存放的私密信息。Vault提供了加密即服務(encryption-as-a-service)的功能,可以隨時將密鑰滾動到新的密鑰版本,同時保留對使用過去密鑰版本加密的值進行解密的能力。 對于動態生成的秘密,可配置的最大租賃壽命確保密鑰滾動易于實施。

審計日志。 保管庫存儲所有經過身份驗證的客戶端交互的詳細審核日志:身份驗證,令牌創建,私密信息訪問,私密信息撤銷等。 可以將審核日志發送到多個后端以確保冗余副本。

另外,HaishiCorp Vault提供了多種方式來管理私密信息。用戶可以通過命令行、HTTP API等集成到應用中來獲取私密信息。HashiCorp Vault也能與Ansible、Chef、Consul等DevOps工具鏈無縫結合使用。

HashiCorp 架構

HashiCorp對私密信息的管理進行了合理的抽象,通過優良的架構實現了很好的擴展性和高可用。

Storage backend: 存儲后端,可以為內存、磁盤、AWS等地方。

Barrier:隔離受信區域和非授信區域,保證內部數據的安全性。

HTTP API:通過HTTP API向外暴露服務,Vault也提供了CLI,其是基于HTTP API實現的。

Vault提供了各種Backend來實現對各種私密信息的集成和管理。比如Authentication Backend提供鑒權,Secret Backend用于存儲和生成私密信息等。

總結

HashiCorp Vault作為私密信息管理工具,比傳統的1password等方式功能更強大,更適合企業級的應用場景。在安全問題越來越嚴峻的今天,值得嘗試HashiCorp Vault。


文章列表


不含病毒。www.avast.com
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 大師兄 的頭像
    大師兄

    IT工程師數位筆記本

    大師兄 發表在 痞客邦 留言(0) 人氣()