HashiCorp Vault

HashiCorp Vault是一款企業(yè)級(jí)私密信息管理工具。說(shuō)起Vault,不得不提它的創(chuàng)造者HashiCorp公司。HashiCorp是一家專(zhuān)注于DevOps工具鏈的公司,其旗下明星級(jí)產(chǎn)品包括Vagrant、Packer、Terraform、Consul、Nomad等,再加上Vault,這些工具貫穿了持續(xù)交付的整個(gè)流程。

HashiCorp Vault在2016年四月進(jìn)入了ThoughtWorks技術(shù)雷達(dá),位于Tools分類(lèi),處于ACESS級(jí)別。在2017年3月份期技術(shù)雷達(dá)中,HashiCorp Vault已經(jīng)處于TRIAL級(jí)別。

image.png

為什么要使用HashiCorp Vault?

在企業(yè)級(jí)應(yīng)用開(kāi)發(fā)過(guò)程中,團(tuán)隊(duì)每時(shí)每刻都需要管理各種各樣的私密信息,從個(gè)人的登陸密碼、到生產(chǎn)環(huán)境的SSH Key以及數(shù)據(jù)庫(kù)登錄信息、API認(rèn)證信息等。通常的做法是將這些秘密信息保存在某個(gè)文件中,并且放置到git之類(lèi)的源代碼管理工具中。個(gè)人和應(yīng)用可以通過(guò)拉取倉(cāng)庫(kù)來(lái)訪問(wèn)這些信息。但這種方式弊端很多,比如跨團(tuán)隊(duì)分享存在安全隱患、文件格式難以維護(hù)、私密信息難以回收等。

尤其是在微服務(wù)如此風(fēng)靡的今天,如何讓開(kāi)發(fā)者添加私密信息、應(yīng)用程序能輕松的獲取私密信息、采用不同策略更新私密信息、適時(shí)回收私密信息等變得越來(lái)越關(guān)鍵。所以企業(yè)需要一套統(tǒng)一的接口來(lái)處理私密信息的方方面面,而HashiCorp Vault就是這樣的一款工具。

HashiCorp Vault的特性

HashiCorp Vault作為集中化的私密信息管理工具,具有以下特點(diǎn):

  • 存儲(chǔ)私密信息。 不僅可以存放現(xiàn)有的私密信息,還可以動(dòng)態(tài)生成用于管理第三方資源的私密信息。所有存放的數(shù)據(jù)都是加密的,任何動(dòng)態(tài)生成的私密信息都有租期,并且到期會(huì)自動(dòng)回收。
  • 滾動(dòng)更新秘鑰。用戶(hù)可以隨時(shí)更新存放的私密信息。Vault提供了加密即服務(wù)(encryption-as-a-service)的功能,可以隨時(shí)將密鑰滾動(dòng)到新的密鑰版本,同時(shí)保留對(duì)使用過(guò)去密鑰版本加密的值進(jìn)行解密的能力。 對(duì)于動(dòng)態(tài)生成的秘密,可配置的最大租賃壽命確保密鑰滾動(dòng)易于實(shí)施。
  • 審計(jì)日志。 保管庫(kù)存儲(chǔ)所有經(jīng)過(guò)身份驗(yàn)證的客戶(hù)端交互的詳細(xì)審核日志:身份驗(yàn)證,令牌創(chuàng)建,私密信息訪問(wèn),私密信息撤銷(xiāo)等。 可以將審核日志發(fā)送到多個(gè)后端以確保冗余副本。

另外,HaishiCorp Vault提供了多種方式來(lái)管理私密信息。用戶(hù)可以通過(guò)命令行、HTTP API等集成到應(yīng)用中來(lái)獲取私密信息。HashiCorp Vault也能與Ansible、Chef、Consul等DevOps工具鏈無(wú)縫結(jié)合使用。

HashiCorp 架構(gòu)

HashiCorp對(duì)私密信息的管理進(jìn)行了合理的抽象,通過(guò)優(yōu)良的架構(gòu)實(shí)現(xiàn)了很好的擴(kuò)展性和高可用。

  • Storage backend: 存儲(chǔ)后端,可以為內(nèi)存、磁盤(pán)、AWS等地方。
  • Barrier:隔離受信區(qū)域和非授信區(qū)域,保證內(nèi)部數(shù)據(jù)的安全性。
  • HTTP API:通過(guò)HTTP API向外暴露服務(wù),Vault也提供了CLI,其是基于HTTP API實(shí)現(xiàn)的。

Vault提供了各種Backend來(lái)實(shí)現(xiàn)對(duì)各種私密信息的集成和管理。比如Authentication Backend提供鑒權(quán),Secret Backend用于存儲(chǔ)和生成私密信息等。

總結(jié)

HashiCorp Vault作為私密信息管理工具,比傳統(tǒng)的1password等方式功能更強(qiáng)大,更適合企業(yè)級(jí)的應(yīng)用場(chǎng)景。在安全問(wèn)題越來(lái)越嚴(yán)峻的今天,值得嘗試HashiCorp Vault。

作者:ThoughtWorks黃博文

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容