摘要:在把數(shù)據(jù)寫入存儲后端之前會先將數(shù)據(jù)加密����,所以即使你直接讀取存儲后端數(shù)據(jù)也無法拿到真正的數(shù)據(jù)。數(shù)據(jù)加密可以在不對數(shù)據(jù)存儲的情況下���,對數(shù)據(jù)進行加密和解密�。作為證書服務(wù)器能夠作為服務(wù)器,根據(jù)請求信息自動頒發(fā)證書��。
vault介紹
vault是什么
vault是一個密碼/證書集中式管理工具����,通過HTTP-API對外提供統(tǒng)一的密碼訪問入口,并且提供權(quán)限控制以及詳細的日志審計功能���。
一個系統(tǒng)可能需要訪問多個帶密碼的后端:例如數(shù)據(jù)庫�����、通過API keys對外部系統(tǒng)進行調(diào)用����,面向服務(wù)的架構(gòu)通信等等���。要將眾多系統(tǒng)中的用戶和權(quán)限對應(yīng)起來已經(jīng)非常困難����,加上提供密鑰滾動功能��、安全的存儲后端還要有詳細的審計日志,自定義解決方案幾乎不太可能��。這也就是vault存在的意義���。
vault的特性
(1)安全的存儲后端:任意的鍵值對密碼都能存儲在vault。vault在把數(shù)據(jù)寫入存儲后端之前會先將數(shù)據(jù)加密�����,所以即使你直接讀取存儲后端數(shù)據(jù)也無法拿到真正的數(shù)據(jù)�。vault的存儲后端可以是文件、Consul��、etcd等等
(2)動態(tài)密碼生成:vault能夠按需生成某些后端的密碼����,例如:AWS、SQL數(shù)據(jù)庫等等���。例如當(dāng)一個應(yīng)用需要訪問AWS的S3 bucket���,應(yīng)用向vault請求訪問S3 bucket的證書,vault能按需生成一個指定權(quán)限的AWS密鑰��,并且能夠根據(jù)租期自動銷毀這個密鑰。
(3)數(shù)據(jù)加密:vault可以在不對數(shù)據(jù)存儲的情況下��,對數(shù)據(jù)進行加密和解密��。安全團隊只需定義好加密方法�,開發(fā)將加密后的數(shù)據(jù)存儲在例如SQL之類的后端即可,而無需設(shè)計自己的加密方式�����。
(4)租期和續(xù)租:在vualt里面���,全部的密碼都可以跟租期聯(lián)系起來�����。在租期結(jié)束時�,vault會自動銷毀對應(yīng)的密碼�����??蛻舳四軌蛲ㄟ^renew-API進行續(xù)租。
(5) 銷毀:vault本身支持對密碼進行銷毀���,不僅支持銷毀單個密碼�,還支持銷毀與之關(guān)聯(lián)的密碼。比如指定某個用戶讀取的全部密碼���,或者特定類型的密碼����。銷毀功能能夠在密碼被泄露的時候輔助鎖定系統(tǒng)���。
vault的使用場景
(1) 作為集中存儲各個服務(wù)器賬號密碼的服務(wù)器。目前我們有服務(wù)器需要訪問到有密碼的后端的時候�����,有幾種方案:
export到環(huán)境變量
寫死到代碼里面
上線的時候使用自動化工具對變量進行替換
第一種方案帶來的問題是使用麻煩����,后兩種方案帶來的問題是維護和變更麻煩。比如DB密碼泄露����,需要修改密碼,首先DBA修改密碼�,然后通知到應(yīng)用����,應(yīng)用再做代碼上的變更���。如果使用vault的話�,DBA只要在vault上面修改好密碼之后通知應(yīng)用重新從vault拉取最新密碼就行了�����。
(2)為每一個操作單位動態(tài)分配賬號
比如過去我們想要對某些敏感操作進行審計���,但是由于生成賬號比較麻煩��,所以存在公用賬號的情況�。vault支持為某些后端動態(tài)生成賬號的功能����,比如SQL,當(dāng)某個應(yīng)用向vault請求賬號密碼的時候����,vault能夠為每次請求生成一個獨一無二的SQL賬號密碼。
(3) 作為證書服務(wù)器
vault能夠作為CA服務(wù)器�,根據(jù)請求信息自動頒發(fā)證書����。并且提供在線CA和CRL的功能����。不過目前只能在vault里面新生成ROOT-CA,不能導(dǎo)入原有的ROOT-CA����。
(4)作為OAUTH服務(wù)器
vault支持多種認證后端,比如github����、kubernetes���、賬號密碼等等�����。vault能夠?qū)⑦@些賬號關(guān)聯(lián)成一個用戶�,在用戶認證之后返回一個token供用戶使用�����。
最簡單的vault服務(wù)器
以Linux-64bit系統(tǒng)為例
# 下載 vault
wget https://releases.hashicorp.com/vault/0.9.1/vault_0.9.1_linux_amd64.zip
unzip vault_0.9.1_linux_amd64.zip
# 啟動dev模式,此模式下任何改動都在內(nèi)存中進行����,數(shù)據(jù)不會保存
./vault server -dev
# 啟動信息
# ==> Vault server configuration:
# ...
# Unseal Key: 0Gg1yc/qY2W3f82DnxcZTEjdvMuxpjOV5nzNnVrMy4U=
# Root Token: eb45cfe5-9cca-3b23-5416-49f2febeb59c
# ...
# 我們能看到vault自動監(jiān)聽在了127.0.0.1:8200,并自動為我們生成了unseal-key以及root-token
# 啟封 vault���,在使用vault之前首先要對vault進行啟封����,才能對vault進行后續(xù)操作����。使用上面生成的uneal-key,其實dev模式下默認是已經(jīng)啟封狀態(tài)
vault unseal 0Gg1yc/qY2W3f82DnxcZTEjdvMuxpjOV5nzNnVrMy4U=
# 認證����,使用上面的Root Token
vault auth eb45cfe5-9cca-3b23-5416-49f2febeb59c
# 將vault地址寫入環(huán)境變量
export VAULT_ADDR="http://127.0.0.1:8200"
# 使用vault-cli操作vault,實際上后臺是調(diào)用通過HTTP-API來操作vault
# 寫入密碼����,在此你可以寫入任意的鍵值對
vault write secret/vault host=127.0.0.1 password=123456
# 讀取剛剛寫入的密碼
vault read secret/vault
結(jié)語
當(dāng)然vault能做的遠遠不止上面的鍵值對存儲和讀取,這里主要對vault的使用做一個大概的介紹����,以及簡單使用���,后面會深入講解vault的各個組件以及高級用法。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/11308.html
