日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Hashicorp Vault在企業(yè)信息化系統(tǒng)中應(yīng)用的可行性調(diào)研

一、Hashicorp Vault 簡(jiǎn)介

Hashicorp Vault 是一個(gè)基于身份認(rèn)證的機(jī)密數(shù)據(jù)安全和加密管理系統(tǒng)。機(jī)密數(shù)據(jù)是您想要嚴(yán)格控制訪問(wèn)的任何內(nèi)容,例如 API 加密密鑰、密碼或證書。Vault 提供由身份驗(yàn)證和授權(quán)方法控制的加密服務(wù)。使用 Vault 的 UI、CLI 或 HTTP API,可以安全地存儲(chǔ)和管理對(duì)機(jī)密和其他敏感數(shù)據(jù)的訪問(wèn),嚴(yán)格控制數(shù)據(jù)訪問(wèn),而且是可審計(jì)的。

創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司,提供成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);可快速的進(jìn)行網(wǎng)站開發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,是專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

現(xiàn)在很多系統(tǒng)需要訪問(wèn)大量機(jī)密數(shù)據(jù):數(shù)據(jù)庫(kù)憑證、外部服務(wù)的 API 密鑰、面向服務(wù)的架構(gòu)通信的憑證等。了解誰(shuí)在訪問(wèn)哪些機(jī)密已經(jīng)非常困難。如果沒(méi)有自定義解決方案,幾乎不可能添加密鑰滾動(dòng)、安全存儲(chǔ)和詳細(xì)的審計(jì)日志。這就是 Vault 介入的地方。

以下是 Vault 的關(guān)鍵特性:

  • 靜態(tài)存儲(chǔ):

任意鍵/值可以存儲(chǔ)在 Vault 中。Vault 在將這些機(jī)密數(shù)據(jù)持久化之前對(duì)其進(jìn)行加密,因此獲得對(duì)原始存儲(chǔ)的訪問(wèn)權(quán)不足以訪問(wèn)您的機(jī)密數(shù)據(jù)。Vault 可以寫入磁盤、Consul 等。

  • ·動(dòng)態(tài)存儲(chǔ):

Vault 可以為某些系統(tǒng)按需生成機(jī)密數(shù)據(jù),例如 AWS 或 SQL 數(shù)據(jù)庫(kù)。例如,當(dāng)應(yīng)用程序需要訪問(wèn) S3 存儲(chǔ)桶時(shí),它會(huì)向 Vault 索取憑證,而 Vault 將根據(jù)需要生成具有有效權(quán)限的 AWS 密鑰對(duì)。創(chuàng)建這些動(dòng)態(tài)機(jī)密數(shù)據(jù)后,Vault 會(huì)在租約到期后自動(dòng)撤銷它們。

  • 數(shù)據(jù)加密:

Vault 可以在不存儲(chǔ)數(shù)據(jù)的情況下加密和解密數(shù)據(jù)。這允許安全團(tuán)隊(duì)定義加密參數(shù),開發(fā)人員可以將加密數(shù)據(jù)存儲(chǔ)在 SQL 數(shù)據(jù)庫(kù)等位置,而無(wú)需設(shè)計(jì)自己的加密方法。

  • 租賃和續(xù)訂:

Vault 中的所有機(jī)密數(shù)據(jù)都有與之相關(guān)的租約。在租約結(jié)束時(shí),Vault 將自動(dòng)撤銷該機(jī)密數(shù)據(jù)??蛻粢部梢酝ㄟ^(guò)內(nèi)置的更新 API 更新租約。

  • 撤銷:

Vault 具有對(duì)秘密撤銷的內(nèi)置支持。Vault 不僅可以撤銷單個(gè)機(jī)密數(shù)據(jù),還可以撤銷機(jī)密樹,例如特定用戶讀取的所有機(jī)密數(shù)據(jù),或特定類型的所有機(jī)密數(shù)據(jù)。撤銷有助于密鑰滾動(dòng)以及在入侵情況下鎖定系統(tǒng)。

Vault 帶有各種稱為 secrets engines 和 authentication methods 的可插拔組件,允許您與外部系統(tǒng)集成。這些組件的目的是管理和保護(hù)動(dòng)態(tài)基礎(chǔ)設(shè)施中的機(jī)密(例如數(shù)據(jù)庫(kù)憑證、密碼、API 密鑰)。

二、引入 Vault 的可行性分析

(一)企業(yè)信息化系統(tǒng)中敏感信息安全現(xiàn)狀

大多數(shù)企業(yè)信息化系統(tǒng)或平臺(tái)中,有很大一部分的敏感數(shù)據(jù)。在分析某一個(gè)企業(yè)信息化軟件時(shí),在敏感數(shù)據(jù)方面發(fā)現(xiàn)了以下信息,這些信息應(yīng)是具有一些代表性的:

  • 系統(tǒng)使用的敏感配置信息,比如數(shù)據(jù)庫(kù)賬號(hào)信息等;
  • 用戶的賬號(hào)及密碼,登錄 web 使用;
  • 主機(jī)賬號(hào)、密碼、密鑰,使用遠(yuǎn)程桌面時(shí)使用;
  • 數(shù)據(jù)庫(kù)賬號(hào)、密碼,登錄數(shù)據(jù)庫(kù)時(shí)使用。

這些敏感信息,安全方面主要采取了以下幾種方式:

  • 系統(tǒng)配置相關(guān)敏感信息,無(wú)安全措施;
  • 用戶密碼采用了MD5+SHA256方式靜態(tài)加密;
  • 主機(jī)密碼、密鑰,數(shù)據(jù)庫(kù)密碼,采用的是python自帶的加密模塊進(jìn)行靜態(tài)加密。

這些敏感數(shù)據(jù)的存儲(chǔ)位置也大致分為兩個(gè)地方:

  • 系統(tǒng)的敏感配置信息,明文存儲(chǔ);
  • git 上存儲(chǔ)著系統(tǒng)使用的加密方式和 salt;
  • 數(shù)據(jù)庫(kù)里存儲(chǔ)著加密后的數(shù)據(jù)。

(二)當(dāng)前企業(yè)信息化系統(tǒng)加密存儲(chǔ)方式風(fēng)險(xiǎn)分析

要解密一份加密后的敏感數(shù)據(jù),需要三個(gè)方面的信息:加密方式 + salt + 加密后數(shù)據(jù),這三個(gè)數(shù)據(jù)的存儲(chǔ)本身,也就成了安全風(fēng)險(xiǎn)所在。

目前許多企業(yè)的信息化性中,敏感信息任意存放,無(wú)序管理,缺乏系統(tǒng)性安全管理手段和系統(tǒng),因此,這些敏感信息風(fēng)險(xiǎn)非常高。

(三)引入 Vault 可行性分析

Vault 的字面意思是“保險(xiǎn)庫(kù)”。

對(duì)于靜態(tài)加密模型來(lái)說(shuō),最重要的是加密密鑰的存儲(chǔ)位置以及對(duì)這些密鑰的訪問(wèn)控制。密鑰如果能夠進(jìn)行嚴(yán)格的保護(hù),能夠由指定的用戶進(jìn)行管理,并可供特定的服務(wù)使用,那靜態(tài)加密的安全性就會(huì)得到大幅提升。

對(duì)于企業(yè)的信息化系統(tǒng)來(lái)說(shuō),目前的安全性保證依賴于產(chǎn)品本身上,如果能借助保險(xiǎn)庫(kù),將數(shù)據(jù)存入保險(xiǎn)庫(kù)中,并由用戶保管各自鑰匙,那系統(tǒng)的安全性就有了很大的保證。

針對(duì) Vault 的特性,以及企業(yè)信息化系統(tǒng)的現(xiàn)狀,我們可以作如下安全提升方案:

  • 系統(tǒng)配置信息:

比如數(shù)據(jù)庫(kù)憑證,采用靜態(tài)存儲(chǔ)方案,不再以明文方式存儲(chǔ)在配置文件中;

  • 用戶賬號(hào)信息、主機(jī)憑證信息:

采用靜態(tài)存儲(chǔ)方案,將密碼、SSL 密鑰以靜態(tài)方式存儲(chǔ)在 Vault 中,信息化系統(tǒng)中不再存儲(chǔ)直接的憑證信息;

  • 數(shù)據(jù)庫(kù)堡壘機(jī)憑證信息:

支持靜態(tài)和動(dòng)態(tài)兩種存儲(chǔ)方式,可以讓用戶自行選擇,信息化系統(tǒng)中不再存儲(chǔ)直接的憑證信息。

安全提升方案落地后,給用戶在使用信息化系統(tǒng)時(shí)提供安全方案選擇,可以選擇默認(rèn)的平臺(tái)加密方案,也可以選擇安全性更高的 Vault 解決方案,提高用戶的選擇權(quán)和靈活性。

這樣的安全提升方案,在PaaS/SaaS 平臺(tái)中,由各租戶管理員自行配置獨(dú)立的安全方案,安全優(yōu)勢(shì)將更為明顯。

三、引入 Vault 的成本分析

  • Hashicorp Vault 提供開源版本,授權(quán)采用 MPL V2.0 協(xié)議,商業(yè)軟件可免費(fèi)使用;
  • 接入的人力成本需要考慮,主要包括產(chǎn)品、研發(fā)、測(cè)試的人力成本。

四、引入 Vault 對(duì)產(chǎn)品亮點(diǎn)的提升

近幾年,在信息化全面普及的大環(huán)境下,各種安全問(wèn)題層出不窮,國(guó)家對(duì)信息化的安全也越來(lái)越重視,《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》相繼出爐。相關(guān)的企業(yè)和個(gè)人對(duì)信息安全的要求也越來(lái)越高。

企業(yè)信息化系統(tǒng)引入 Vault 來(lái)提高敏感數(shù)據(jù)的安全性,可以令企業(yè)在信息安全管理方面合規(guī),并成為企業(yè)信息化系統(tǒng)的安全亮點(diǎn)。


網(wǎng)站名稱:Hashicorp Vault在企業(yè)信息化系統(tǒng)中應(yīng)用的可行性調(diào)研
分享URL:http://m.5511xx.com/article/copsdej.html