摘要:在把數(shù)據(jù)寫入存儲后端之前會先將數(shù)據(jù)加密�,所以即使你直接讀取存儲后端數(shù)據(jù)也無法拿到真正的數(shù)據(jù)�。數(shù)據(jù)加密可以在不對數(shù)據(jù)存儲的情況下�����,對數(shù)據(jù)進(jìn)行加密和解密��。作為證書服務(wù)器能夠作為服務(wù)器��,根據(jù)請求信息自動頒發(fā)證書��。
vault介紹
vault是什么
vault是一個密碼/證書集中式管理工具����,通過HTTP-API對外提供統(tǒng)一的密碼訪問入口��,并且提供權(quán)限控制以及詳細(xì)的日志審計(jì)功能����。
一個系統(tǒng)可能需要訪問多個帶密碼的后端:例如數(shù)據(jù)庫、通過API keys對外部系統(tǒng)進(jìn)行調(diào)用��,面向服務(wù)的架構(gòu)通信等等��。要將眾多系統(tǒng)中的用戶和權(quán)限對應(yīng)起來已經(jīng)非常困難���,加上提供密鑰滾動功能����、安全的存儲后端還要有詳細(xì)的審計(jì)日志,自定義解決方案幾乎不太可能���。這也就是vault存在的意義��。
vault的特性
(1)安全的存儲后端:任意的鍵值對密碼都能存儲在vault��。vault在把數(shù)據(jù)寫入存儲后端之前會先將數(shù)據(jù)加密�����,所以即使你直接讀取存儲后端數(shù)據(jù)也無法拿到真正的數(shù)據(jù)����。vault的存儲后端可以是文件��、Consul����、etcd等等
(2)動態(tài)密碼生成:vault能夠按需生成某些后端的密碼,例如:AWS�、SQL數(shù)據(jù)庫等等。例如當(dāng)一個應(yīng)用需要訪問AWS的S3 bucket,應(yīng)用向vault請求訪問S3 bucket的證書�,vault能按需生成一個指定權(quán)限的AWS密鑰,并且能夠根據(jù)租期自動銷毀這個密鑰�。
(3)數(shù)據(jù)加密:vault可以在不對數(shù)據(jù)存儲的情況下�����,對數(shù)據(jù)進(jìn)行加密和解密����。安全團(tuán)隊(duì)只需定義好加密方法,開發(fā)將加密后的數(shù)據(jù)存儲在例如SQL之類的后端即可�����,而無需設(shè)計(jì)自己的加密方式���。
(4)租期和續(xù)租:在vualt里面���,全部的密碼都可以跟租期聯(lián)系起來。在租期結(jié)束時�,vault會自動銷毀對應(yīng)的密碼??蛻舳四軌蛲ㄟ^renew-API進(jìn)行續(xù)租。
(5) 銷毀:vault本身支持對密碼進(jìn)行銷毀,不僅支持銷毀單個密碼����,還支持銷毀與之關(guān)聯(lián)的密碼。比如指定某個用戶讀取的全部密碼��,或者特定類型的密碼�����。銷毀功能能夠在密碼被泄露的時候輔助鎖定系統(tǒng)���。
vault的使用場景
(1) 作為集中存儲各個服務(wù)器賬號密碼的服務(wù)器��。目前我們有服務(wù)器需要訪問到有密碼的后端的時候�����,有幾種方案:
export到環(huán)境變量
寫死到代碼里面
上線的時候使用自動化工具對變量進(jìn)行替換
第一種方案帶來的問題是使用麻煩����,后兩種方案帶來的問題是維護(hù)和變更麻煩�。比如DB密碼泄露,需要修改密碼����,首先DBA修改密碼����,然后通知到應(yīng)用�����,應(yīng)用再做代碼上的變更�����。如果使用vault的話����,DBA只要在vault上面修改好密碼之后通知應(yīng)用重新從vault拉取最新密碼就行了�。
(2)為每一個操作單位動態(tài)分配賬號
比如過去我們想要對某些敏感操作進(jìn)行審計(jì),但是由于生成賬號比較麻煩��,所以存在公用賬號的情況�。vault支持為某些后端動態(tài)生成賬號的功能,比如SQL����,當(dāng)某個應(yīng)用向vault請求賬號密碼的時候�����,vault能夠?yàn)槊看握埱笊梢粋€獨(dú)一無二的SQL賬號密碼�����。
(3) 作為證書服務(wù)器
vault能夠作為CA服務(wù)器����,根據(jù)請求信息自動頒發(fā)證書���。并且提供在線CA和CRL的功能�。不過目前只能在vault里面新生成ROOT-CA�,不能導(dǎo)入原有的ROOT-CA。
(4)作為OAUTH服務(wù)器
vault支持多種認(rèn)證后端���,比如github�、kubernetes����、賬號密碼等等。vault能夠?qū)⑦@些賬號關(guān)聯(lián)成一個用戶���,在用戶認(rèn)證之后返回一個token供用戶使用���。
最簡單的vault服務(wù)器
以Linux-64bit系統(tǒng)為例
# 下載 vault
wget https://releases.hashicorp.com/vault/0.9.1/vault_0.9.1_linux_amd64.zip
unzip vault_0.9.1_linux_amd64.zip
# 啟動dev模式�����,此模式下任何改動都在內(nèi)存中進(jìn)行���,數(shù)據(jù)不會保存
./vault server -dev
# 啟動信息
# ==> Vault server configuration:
# ...
# Unseal Key: 0Gg1yc/qY2W3f82DnxcZTEjdvMuxpjOV5nzNnVrMy4U=
# Root Token: eb45cfe5-9cca-3b23-5416-49f2febeb59c
# ...
# 我們能看到vault自動監(jiān)聽在了127.0.0.1:8200,并自動為我們生成了unseal-key以及root-token
# 啟封 vault��,在使用vault之前首先要對vault進(jìn)行啟封�,才能對vault進(jìn)行后續(xù)操作���。使用上面生成的uneal-key�����,其實(shí)dev模式下默認(rèn)是已經(jīng)啟封狀態(tài)
vault unseal 0Gg1yc/qY2W3f82DnxcZTEjdvMuxpjOV5nzNnVrMy4U=
# 認(rèn)證���,使用上面的Root Token
vault auth eb45cfe5-9cca-3b23-5416-49f2febeb59c
# 將vault地址寫入環(huán)境變量
export VAULT_ADDR="http://127.0.0.1:8200"
# 使用vault-cli操作vault,實(shí)際上后臺是調(diào)用通過HTTP-API來操作vault
# 寫入密碼��,在此你可以寫入任意的鍵值對
vault write secret/vault host=127.0.0.1 password=123456
# 讀取剛剛寫入的密碼
vault read secret/vault
結(jié)語
當(dāng)然vault能做的遠(yuǎn)遠(yuǎn)不止上面的鍵值對存儲和讀取,這里主要對vault的使用做一個大概的介紹���,以及簡單使用����,后面會深入講解vault的各個組件以及高級用法����。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11308.html
