Ich suche vault zum Sichern von DB-Anmeldeinformationen, die von verschiedenen Webanwendungen verwendet werden. Ich habe ein paar Youtube-Videos angeschaut, Shares verschoben und sogar Vault zum Experimentieren heruntergeladen. Ich kann mich nicht damit herumschlagen. Wie schützt Vault die Anmeldeinformationen für so etwas wie eine Webanwendung, die ein Token verwendet, um sich bei Vault zu authentifizieren? Ich gehe davon aus, dass der Apache-Prozess das Vault-Token besitzen muss (Benutzer-Token, nicht Root-Token), damit er auf die Geheimnisse der laufenden Anwendungen zugreifen kann. Dies würde, so scheint es, alle Geheimnisse preisgeben, auf die der Apache-Prozess im Falle einer Anwendungskompromisse Zugriff hätte. Ich sehe keinen großen Gewinn hier, also muss ich viel vermissen.Wie funktioniert hashicorp Vault zum Sichern von DB-Anmeldeinformationen?
Antwort
Kurz gesagt, Vault unterstützt Authentifizierungsbackends, mit denen Sie Token generieren können. Token sollten als temporärer Zugriff betrachtet werden und sind nicht identisch mit einem Schlüssel.
Insbesondere unterstützt Vault die Authentifizierung mit vielen verschiedenen Systemen, um nach Bedarf dynamische Geheimnisse und Anmeldeinformationen zu generieren. Dies ist gut dokumentiert here
In Bezug auf die Sicherheit ist die Idee, eine authentication backend als primäre haben, und das Token als Folge erzeugt wird. Sie sind richtig, wenn Sie sagen, dass harte Coding Tokens ein Sicherheitsrisiko darstellen. Sobald sie im Flug generiert wurden, sollten sie strenge Berechtigungen und kurze TTLs haben. Vault macht das einfach, da Sie den Umfang des Tokens mit einer ACL definieren können.
- 1. Chefspec mit Hashicorp Vault
- 2. HashiCorp Vault Mongo Fehler
- 3. HashiCorp Vault-Projekt - unterstützten Verschlüsselungsalgorithmen
- 4. Hashicorp Vault Client Best Practice
- 5. Küchenchef: Vault Hashicorp Rubin Juwel
- 6. Wie funktioniert Terraform mit Hashicorp-Vault für Openstack?
- 7. Hashicorp Vault als StatefulSet auf Kubernetes
- 8. Wie kann ich mit Hashicorp Vault meine Anwendungsgeheimnisse verwalten?
- 9. SSH: Kann nicht mit Schlüssel von Hashicorp Vault mit Go
- 10. Spring Cloud Config Server mit Zookeeper oder HashiCorp Vault Backend
- 11. Gibt es eine Möglichkeit, HashiCorp Vault als Windows-Dienst auszuführen?
- 12. Verwenden Sie Hashicorp Vault mit Ansible - Plugin-Setup
- 13. Hashicorp Vault AppRole: Rollen-ID und Secret-ID
- 14. Hashicorp Vault - Auth-Token erstellen Nur, nicht lesen Geheimnisse
- 15. Wie bekomme ich ein Geheimnis aus der Vault-HTTP-API von HashiCorp in einen Andock-Container?
- 16. So sichern Sie den BLOB-Speicherzugriffsschlüssel in Azure Key Vault
- 17. HASHICORP VAULT: Wie mehrere Elemente aus einer Datei lesen und schreiben sie
- 18. Verwenden von GetHashCode zum "Sichern" von Benutzerpasswörtern
- 19. Ansible-vault funktioniert nicht mit --vault-password-file
- 20. Optionen zum Sichern von UDP-Verkehr
- 21. Wie verbinden Server Vault
- 22. Schritte zum Sichern Wildfly 8
- 23. Laravel 5.3 richtiger Weg zum Sichern von Dateien zum Download
- 24. Verwenden von CSS zum Sichern/Unkenntlichmachen von Namen
- 25. Spring boot JDBC mit Passwort lease/renew (wie in Vault)
- 26. Verschiedene Umgebungen für Terraform (Hashicorp)
- 27. Sichern und Wiederherstellen von MySQL von einem Server zum anderen
- 28. Ausführen eines C-Programms zum Sichern von Linux-Dateien
- 29. Kann HashiCorp Vault rollende Passwörter ausgeben und eine Kopie behalten, damit ein Mensch ein bestimmtes Passwort erhalten kann
- 30. Sichern von Firebase-Daten