8 Pinakamahusay na Lihim na Pamamahala ng Lihim para sa Mas Mahusay na Security Security

I-secure ang mahalaga sa iyong negosyo.


Maraming isipin habang nagtatrabaho sa mga lalagyan, Kubernetes, cloud, at mga lihim. Kailangan mong gumamit at maiugnay ang pinakamahusay na kasanayan sa paligid ng pagkakakilanlan at pamamahala sa pag-access bilang karagdagan sa pagpili at pagsasagawa ng iba’t ibang mga tool.

Kung ikaw ay isang tagabuo o isang propesyonal na sysadmin, kailangan mong linawin na mayroon kang tamang pagpipilian ng mga tool upang mapanatili ang katiwasayan ng iyong mga kapaligiran. Ang mga aplikasyon ay nangangailangan ng pag-access sa data ng pagsasaayos sa lugar upang gumana nang tama. At habang ang karamihan sa data ng pagsasaayos ay hindi sensitibo, ang ilan ay kailangang manatiling kumpidensyal. Ang mga string na ito ay kilala bilang mga lihim.

Buweno, Kung nagtatayo ka ng isang maaasahang application, ang mga posibilidad na ang iyong mga pagpapaandar ay kinakailangan upang ma-access ang mga lihim o anumang iba pang mga uri ng sensitibong impormasyon na iyong iniingatan. Kasama sa mga lihim na ito ang:

  • Mga key ng API
  • Mga kredensyal sa database
  • Mga key ng pag-encrypt
  • Mga setting ng pagsasaayos ng sensitibo (email address, usernames, debug flags, atbp.)
  • Mga password

Gayunpaman, ang pag-aalaga sa mga lihim na ito ay ligtas na maaaring patunayan na isang mahirap na gawain. Kaya narito ang ilang mga tip para sa Developer at Sysadmins:

Pag-andar ng pag-andar ng pag-andar

Laging tandaan upang subaybayan ang mga aklatan na ginagamit sa mga pag-andar at pag-flag ng mga kahinaan sa pamamagitan ng patuloy na pagsubaybay sa kanila.

Ang mga gateway ng Employ API bilang isang security buffer

Huwag ilantad ang mga function nang tumpak sa pakikipag-ugnayan ng gumagamit. Maipalabas ang mga kakayahan ng gateway ng iyong provider ng ulap upang isama ang isa pang layer ng seguridad sa tuktok ng iyong pag-andar.

I-secure at i-verify ang data sa pagbiyahe

Siguraduhing magamit ang HTTPS para sa isang ligtas na channel ng komunikasyon at upang mapatunayan ang mga sertipiko ng SSL upang maprotektahan ang malayong pagkakakilanlan.

Sundin ang mga ligtas na mga panuntunan sa coding para sa code ng aplikasyon

Nang walang mga server na mag-hack, ibabalik ng mga umaatake ang kanilang isip sa layer ng aplikasyon, kaya kumuha ng labis na pangangalaga upang maprotektahan ang iyong code.

Pamahalaan ang mga lihim sa ligtas na imbakan

Ang impormasyong sensitibo ay madaling mailabas, at ang mga pasulit na kredensyal ay angkop sa mga pag-atake sa talahanayan ng bahaghari kung hindi ka nagpapabaya sa pag-ampon ng wastong mga solusyon sa pamamahala ng lihim. Alalahanin na huwag mag-imbak ng mga lihim sa system ng aplikasyon, variable ng kapaligiran, o sa isang sistema ng pamamahala ng source code.

Ang pangunahing pamamahala sa mundo ng kooperasyon ay napakasakit dahil sa, bukod sa iba pang mga kadahilanan, isang kakulangan ng kaalaman at mapagkukunan. Sa halip, ang ilang mga kumpanya ay naka-embed ang mga susi ng pag-encrypt at iba pang mga lihim ng software nang direkta sa source code para sa application na gumagamit ng mga ito, ipinapakilala ang peligro ng paglalantad ng mga lihim.

Dahil sa kakulangan ng masyadong maraming mga solusyon sa istante, maraming mga kumpanya ang naghangad na bumuo ng kanilang sariling mga tool sa pamamahala ng mga lihim. Narito ang ilang, maaari mong pagkilos para sa iyong mga kinakailangan.

Vault

HashiCorp Vault ay isang tool para sa ligtas na pag-iimbak at pag-access ng mga lihim.

Nagbibigay ito ng isang pinag-isang interface sa lihim habang pinapanatili ang mahigpit na control control at pag-log ng isang komprehensibong log ng pag-audit. Ito ay isang tool na nagsisiguro sa mga application at base ng gumagamit upang limitahan ang ibabaw ng puwang at oras ng pag-atake sa kaso ng isang paglabag. Nagbibigay ito ng isang API na nagbibigay-daan sa pag-access sa mga lihim batay sa mga patakaran. Kailangang patunayan ng sinumang gumagamit ng API at makita lamang ang mga lihim kung saan siya ay awtorisadong matingnan.

Ang data ng Vault na naka-encrypt gamit ang 256-bit AES na may GCM.

https://www.datocms-assets.com/2885/1543956852-vault-v1-0-ui-opt.mp4

Maaari itong makaipon ng data sa iba’t ibang mga pag-uulat tulad ng Amazon DynamoDB, Consul, at marami pa. Para sa mga serbisyo ng pag-audit, sinusuportahan ng Vault ang pag-log sa isang lokal na file, isang Syslog server, o direkta sa isang socket. Ang mga impormasyon sa pag-log ng Vault tungkol sa kliyente na nagsagawa ng isang aksyon, ang mga IP address ng kliyente, ang pagkilos, at sa anong oras ito ginanap

Ang pagsisimula / pag-restart ay palaging nagsasangkot ng isa o higit pang mga operator upang hindi makita ang Vault. Ito ay pangunahing gumagana sa mga token. Ang bawat token ay ibinibigay sa isang patakaran na maaaring pumipigil sa mga aksyon at mga landas. Ang mga pangunahing tampok ng Vault ay:

  • Ito ay naka-encrypt at nag-decrypts ng data nang hindi iniimbak ito.
  • Ang Vault ay maaaring makabuo ng mga lihim na on-demand para sa ilang mga operasyon, tulad ng AWS o mga database ng SQL.
  • Pinapayagan ang pagtitiklop sa maraming mga sentro ng data.
  • Ang Vault ay may built-in na proteksyon para sa lihim na pagbawi.
  • Nagsisilbi bilang isang lihim na imbakan na may mga detalye ng control control.

Manager ng lihim ng AWS

Inaasahan mong AWS sa listahang ito. Hindi ba ikaw?

May solusyon ang AWS sa bawat problema.

Manager ng lihim ng AWS nagbibigay-daan sa iyo upang mabilis na iikot, pamahalaan, at makuha ang mga kredensyal ng mga kredensyal, mga key ng API, at iba pang mga password. Gamit ang Secrets Manager, maaari mong mai-secure, suriin, at pamahalaan ang mga lihim na kinakailangan upang ma-access ang mga kakayahan sa AWS Cloud, sa mga serbisyo ng third-party, at nasa lugar.

Binibigyang-daan ka ng Manager ng Lihim na pamahalaan ang pag-access sa mga lihim gamit ang mga pahintulot na pinong grained. Ang mga pangunahing tampok ng AWS Secrets Manager ay:

  • I-encrypt ang mga lihim sa pahinga gamit ang mga key ng pag-encrypt.
  • Gayundin, decrypts ang lihim at pagkatapos ay nagpapadala ito ng ligtas sa TLS
  • Nagbibigay ng mga sample ng code na makakatulong upang tawagan ang mga API ng Mga Lihim ng Manager
  • Mayroon itong mga library ng caching ng client-side upang mapabuti ang pagkakaroon at mabawasan ang latency ng paggamit ng iyong mga lihim.
  • I-configure ang mga pagtatapos ng Amazon VPC (Virtual Private Cloud) upang mapanatili ang trapiko sa loob ng network ng AWS.

Keywhiz

Square Keywhiz tumutulong sa mga lihim ng imprastraktura, GPG keyrings, mga kredensyal ng database, kabilang ang mga sertipiko at mga susi ng TLS, mga simetriko key, mga token ng API, at SSH key para sa mga panlabas na serbisyo. Ang Keywhiz ay isang tool para sa paghawak at pagbabahagi ng mga lihim.

Ang automation sa Keywhiz ay nagpapahintulot sa amin na walang putol na ipamahagi at i-set up ang mga mahahalagang lihim para sa aming mga serbisyo, na nangangailangan ng isang pare-pareho at ligtas na kapaligiran. Ang mga pangunahing tampok ng Keywhiz ay:

  • Nagbibigay ang Keywhiz Server ng mga JSON ng mga API para sa pagkolekta at pamamahala ng mga lihim.
  • Itinatago lamang nito ang lahat ng mga lihim at hindi na umuulit sa disk
  • Ang UI ay ginawa gamit ang AngularJS upang ang mga gumagamit ay maaaring mapatunayan at gamitin ang UI.

Confidant

Confidant ay isang bukas na mapagkukunan ng lihim na tool sa pamamahala na nagpapanatili ng pag-iimbak ng user-friendly at pag-access sa mga lihim na ligtas. Nagtitipid ang mga kumpidensyal na lihim sa isang paraan ng apend sa DynamoDB, at makabuo ng isang natatanging KMS data key para sa bawat pagbabago ng lahat ng lihim, gamit ang Fernet symmetric na napatunayan na kriptograpiya.

Nagbibigay ito ng isang web interface ng AngularJS na nagbibigay ng mga end-user upang mahusay na pamahalaan ang mga lihim, ang mga form ng mga lihim sa mga serbisyo, at ang tala ng mga pagbabago. Ang ilan sa mga tampok ay kinabibilangan ng:

  • Pagpapatunay ng KMS
  • Sa-rest na pag-encrypt ng mga naka-bersyon na mga lihim
  • Isang interface ng web interface ng gumagamit para sa pamamahala ng mga lihim
  • Bumuo ng mga token na maaaring mailapat para sa pagpapatunay ng serbisyo-sa-serbisyo, o upang ipasa ang mga naka-encrypt na mensahe sa pagitan ng mga serbisyo.

Malakas na kahon

Malakas na kahon ay isang madaling gamiting tool na kung saan ang humahawak, mag-imbak at makakakuha ng mga lihim tulad ng mga token sa pag-access, pribadong sertipiko, at mga susi sa pag-encrypt. Ang strongbox ay isang layer ng kaginhawaan ng kliyente. Pinapanatili nito ang mga mapagkukunan ng AWS para sa iyo, at ligtas itong na-configure ang mga ito.

Mabilis mong suriin ang iyong buong hanay ng mga password at lihim na agad at epektibo, na may malalim na paghahanap. Mayroon kang isang pagpipilian upang maimbak ang alinman sa mga lokal na kredensyal o ang ulap. Kung pumipili ng isang ulap, pagkatapos ay maaari mong piliing mag-imbak sa iCloud, Dropbox, OneDrive, Google Drive, WebDAV, atbp..

Ang strongbox ay katugma sa iba pang mga password na ligtas.

Azure Key Vault

Pagho-host ng iyong mga aplikasyon sa Azure? Kung oo, kung gayon ito ay magiging isang mahusay na pagpipilian.

Azure Key Vault nagbibigay-daan sa mga gumagamit upang pamahalaan ang lahat ng mga lihim (mga susi, sertipiko, mga string ng koneksyon, mga password, atbp.) para sa kanilang cloud application sa isang partikular na lugar. Ito ay isinama sa labas ng kahon na may mga pinagmulan at target ng mga lihim sa Azure. Maaari itong magamit ng mga aplikasyon sa labas ng Azure.

Maaari mo ring gamitin upang mapagbuti ang pagganap sa pamamagitan ng pagputol ng latency ng iyong mga aplikasyon sa ulap sa pamamagitan ng pag-iimbak ng mga key ng cryptographic sa ulap, sa halip na sa mga lugar.

Makakatulong ang Azure upang makamit ang pangangalaga ng data at kinakailangan sa pagsunod.

Mga sikreto ng pantalan

Mga sikreto ng pantalan hayaan mong madaling magdagdag ng lihim sa kumpol, at ibinahagi lamang ito sa mga magkakaugnay na koneksyon na TLS. Pagkatapos ay naabot ang data sa manager node sa mga lihim ng Docker, at awtomatiko itong nakakatipid sa panloob na tindahan ng Raft, na nagsisiguro na ang data ay dapat mai-encrypt.

Ang mga sikreto ng docker ay madaling mailalapat upang pamahalaan ang data at sa gayon mailipat ang pareho sa mga lalagyan na may access dito. Pinipigilan nito ang mga lihim mula sa pagtagas kapag sila ay ginagamit ng application.

Knox

Knox, binuo ng platform ng social media na Pinterest upang malutas ang kanilang problema sa manu-manong pamamahala ng mga susi at pagpapanatili ng isang landas sa pag-audit. Ang Knox ay nakasulat sa Go, at ang mga kliyente ay nakikipag-usap sa server ng Knox gamit ang isang REST API.

Gumagamit si Knox ng isang pabagu-bago ng pansamantalang database para sa pag-iimbak ng mga key. Ito ay naka-encrypt ang data na naka-imbak sa database gamit ang AES-GCM na may key key encryption. Magagamit din ang Knox bilang isang imahe ng Docker.

Konklusyon

Inaasahan ko na ang nasa itaas ay nagbibigay sa iyo ng isang ideya tungkol sa ilan sa mga pinakamahusay na software upang pamahalaan ang mga kredensyal ng aplikasyon.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map