云服務(wù)在公司的許多項(xiàng)目中都發(fā)揮著重要作用。我們自己使用各種云服務(wù),并為客戶提供云開發(fā)和維護(hù)服務(wù)。在使用云技術(shù)時(shí),確保敏感和有價(jià)值的數(shù)據(jù)安全是重中之重。
以前,我們用鐵鎖保護(hù)的東西現(xiàn)在用密碼保護(hù)。我們每天都以用戶憑據(jù),密碼,加密密鑰,配置文件和API令牌的形式使用機(jī)密??紤]到它們的重要性,應(yīng)該對(duì)安全密碼進(jìn)行負(fù)責(zé)任的管理。保護(hù)不善的機(jī)密可能會(huì)導(dǎo)致破壞性的數(shù)據(jù)泄露以及財(cái)務(wù)和聲譽(yù)損失??紤]一下,最近與Facebook有關(guān)的情況,當(dāng)時(shí)有近3000萬(wàn)用戶的個(gè)人數(shù)據(jù)由于訪問令牌被盜而暴露。
根據(jù)我們的經(jīng)驗(yàn),這里分享有關(guān)如何管理云中的密碼,如何使用哪些工具以及準(zhǔn)備應(yīng)對(duì)哪些挑戰(zhàn)等相關(guān)見解。
管理云中的密碼
服務(wù)提供商(CSP)的職責(zé)范圍完全取決于我們所使用的云類型。云可以是私有、混合或公共的。在公共云或混合云中,關(guān)鍵數(shù)據(jù)安全職責(zé)在云主機(jī)和用戶之間分配。但是,最大程度地利用CSP提供的內(nèi)容取決于您(用戶)。而且,如果您的CSP的本機(jī)機(jī)密管理解決方案不能滿足您的需求,則您有責(zé)任找到更合適的設(shè)備并完全保護(hù)您的關(guān)鍵數(shù)據(jù)。另外,請(qǐng)確保評(píng)估您使用的所有機(jī)密管理工具的配置,因?yàn)槟J(rèn)設(shè)置可能并不總是對(duì)您有利。
考慮到當(dāng)前的任務(wù),事先計(jì)劃您的密碼管理策略,然后選擇最能滿足您需求的解決方案。大多數(shù)CSP提供用于管理其云中機(jī)密的本機(jī)解決方案:用于Google Cloud的Secret Manager,用于Microsoft Azure的Key Vault,用于Amazon Web Services(AWS)的密鑰管理服務(wù)(KMS)。雖然這些是針對(duì)特定云的本機(jī)解決方案,但其中大多數(shù)工具也可以在多云環(huán)境中使用。對(duì)于那些無(wú)法做到的,CSP通常提供兼容多云的替代方案(例如適用于AWS KMS的AWS CloudHSM)。還有一些云平臺(tái)(例如HashiCorp Vault)未提供的獨(dú)立解決方案,以及密碼管理功能,這些功能是容器平臺(tái)(如Kubernetes和Docker)的一部分。
當(dāng)前,AWS提供了多種工具來管理不同類別的機(jī)密。KMS是用于處理各種機(jī)密(特別是加密密鑰)的通用解決方案。反過來,參數(shù)存儲(chǔ)和機(jī)密管理器在存儲(chǔ)參數(shù),機(jī)密和配置信息方面效果更好。這兩個(gè)服務(wù)大致相同,但Secrets Manager可以生成隨機(jī)機(jī)密并輪換機(jī)密值。您還可以通過AWS Lambda在AWS中自動(dòng)執(zhí)行密碼輪換。
管理密碼時(shí)會(huì)遇到什么挑戰(zhàn)
無(wú)論您是在不同的云服務(wù)中,還是在特定的基于云的應(yīng)用程序中使用機(jī)密,正確管理機(jī)密程序都可以為您帶來很多好處:
1.粒度數(shù)據(jù)訪問。
2.安全密碼傳輸。
3.自動(dòng)憑證滾動(dòng)。
4.微服務(wù)中的輕松機(jī)密管理。
5.用于多環(huán)境部署工件的單個(gè)存儲(chǔ)。
但是,要構(gòu)建機(jī)密管理策略,您需要做出許多選擇。這就是一切變得更加困難的地方。您需要注意的一件事是數(shù)據(jù)加密。根據(jù)經(jīng)驗(yàn),所有關(guān)鍵數(shù)據(jù)都應(yīng)加密。但是,區(qū)分必須加密的數(shù)據(jù)類型可能具有挑戰(zhàn)性。
首先,保護(hù)對(duì)您的應(yīng)用程序或基礎(chǔ)架構(gòu)至關(guān)重要的數(shù)據(jù)。另外,不要將機(jī)密(密鑰和密碼)與標(biāo)識(shí)符(用戶名)混為一談,因?yàn)閬G失后者比丟失前者的危害要小得多。
鑒于驗(yàn)證用戶身份至關(guān)重要,請(qǐng)確保實(shí)施適當(dāng)?shù)纳矸莨芾頇C(jī)制。此外,通過定義具有不同數(shù)據(jù)訪問級(jí)別的多個(gè)角色并將這些角色添加到您的密碼管理解決方案中,確保只有少數(shù)人可以訪問受限制的數(shù)據(jù)。
最后,您需要應(yīng)付實(shí)施開銷。具有少量配置選項(xiàng)的基本解決方案對(duì)于小型項(xiàng)目可能就足夠了。但是,如果您打算將來擴(kuò)展項(xiàng)目,則盡早開始采用復(fù)雜的機(jī)密管理方法是明智的。這樣,在需要進(jìn)行重大改進(jìn)時(shí),您就不必浪費(fèi)資源來重新配置整個(gè)系統(tǒng)。
請(qǐng)牢記這些挑戰(zhàn),以改善您的密碼管理程序并確保對(duì)最有價(jià)值的數(shù)據(jù)進(jìn)行適當(dāng)?shù)谋Wo(hù)。
京公網(wǎng)安備 11010502049343號(hào)