8 лучших секретных программ управления для лучшей безопасности приложений

Защитите то, что важно для вашего бизнеса.


При работе с контейнерами, Kubernetes, облаком и секретами есть над чем подумать. Вы должны применять и связывать лучшие практики управления идентификацией и доступом в дополнение к выбору и использованию различных инструментов..

Независимо от того, являетесь ли вы разработчиком или профессионалом сисадмина, вам необходимо четко указать, что у вас есть правильный выбор инструментов для обеспечения безопасности вашей среды. Для правильной работы приложениям необходим доступ к данным конфигурации. И хотя большинство данных конфигурации не являются конфиденциальными, некоторые должны оставаться конфиденциальными. Эти строки известны как секреты.

Что ж, если вы создаете надежное приложение, есть вероятность, что ваши функции требуют доступа к секретам или любым другим типам конфиденциальной информации, которую вы храните. Эти секреты включают в себя:

  • API ключи
  • Учетные данные базы данных
  • Ключи шифрования
  • Настройки чувствительной конфигурации (адрес электронной почты, имена пользователей, флаги отладки и т. Д.)
  • Пароли

Однако заботиться об этих секретах позже может оказаться трудной задачей. Вот несколько советов для разработчиков и системных администраторов:

Исправление зависимости функций

Всегда не забывайте отслеживать библиотеки, которые используются в функциях, и отмечать уязвимости, постоянно отслеживая их.

Использовать шлюзы API в качестве буфера безопасности

Не подвергайте функции именно взаимодействию с пользователем. Используйте возможности шлюза API ваших облачных провайдеров, чтобы включить еще один уровень безопасности поверх вашей функции.

Защищать и проверять данные в пути

Обязательно используйте HTTPS для безопасного канала связи и проверяйте SSL-сертификаты для защиты удаленной идентификации..

Следуйте правилам безопасного кодирования для кода приложения

Не имея серверов для взлома, злоумышленники переключатся на уровень приложений, поэтому будьте особенно внимательны, чтобы защитить ваш код.

Управляйте секретами в безопасном хранилище

Конфиденциальная информация может быть легко пропущена, а устаревшие учетные данные могут быть использованы для атак «радуги», если вы не примете правильные решения для секретного управления. Помните, что не храните секреты в прикладной системе, переменных среды или в системе управления исходным кодом.

Управление ключами в мире сотрудничества очень болезненно из-за, помимо прочего, недостатка знаний и ресурсов. Вместо этого некоторые компании встраивают ключи шифрования и другие программные секреты непосредственно в исходный код для приложения, которое их использует, что создает риск раскрытия секретов..

Из-за отсутствия большого количества готовых решений многие компании стремились создать свои собственные инструменты управления секретами. Вот несколько, вы можете использовать для ваших требований.

Свод

ХашКорп Хранилище это инструмент для безопасного хранения и доступа к секретам.

Он предоставляет унифицированный интерфейс для секрета, сохраняя при этом строгий контроль доступа и ведение полного журнала аудита. Это инструмент, который защищает пользовательские приложения и базу, чтобы ограничить пространство на поверхности и время атаки в случае взлома. Это дает API, который позволяет доступ к секретам на основе политик. Любой пользователь API должен проверить и увидеть только те секреты, которые он имеет право просматривать.

Vault шифрует данные, используя 256-битный AES с GCM.

https://www.datocms-assets.com/2885/1543956852-vault-v1-0-ui-opt.mp4

Он может накапливать данные в различных бэкэндах, таких как Amazon DynamoDB, Consul и многих других. Для служб аудита Vault поддерживает запись в локальный файл, на сервер Syslog или непосредственно в сокет. Хранилище регистрирует информацию о клиенте, который выполнил действие, IP-адрес клиента, действие и в какое время оно было выполнено

Запуск / перезапуск всегда вовлекает одного или нескольких операторов, чтобы распечатать Vault. Работает в основном с токенами. Каждый токен предоставляется политике, которая может ограничивать действия и пути. Ключевые особенности Vault:

  • Он шифрует и дешифрует данные, не сохраняя их.
  • Vault может генерировать секреты по запросу для некоторых операций, таких как базы данных AWS или SQL.
  • Позволяет репликации через несколько центров обработки данных.
  • Vault имеет встроенную защиту для секретного отзыва.
  • Служит в качестве секретного хранилища с деталями контроля доступа.

Менеджер секретов AWS

Вы ожидали AWS в этом списке. Не ты?

У AWS есть решение любой проблемы.

Менеджер секретов AWS позволяет быстро вращать, управлять и получать учетные данные базы данных, ключи API и другие пароли. Используя Secrets Manager, вы можете защищать, анализировать и управлять секретами, необходимыми для доступа к возможностям в облаке AWS, сторонним сервисам и локально.

Secrets Manager позволяет вам управлять доступом к секретам, используя детализированные разрешения. Ключевые функции AWS Secrets Manager:

  • Шифрует секреты в покое, используя ключи шифрования.
  • Кроме того, расшифровывает секрет и затем передает безопасно по TLS
  • Предоставляет примеры кода, которые помогают вызывать API-интерфейсы Secrets Manager.
  • Он имеет клиентские библиотеки для кэширования, чтобы улучшить доступность и сократить время использования ваших секретов..
  • Настройте конечные точки Amazon VPC (виртуальное частное облако) для сохранения трафика в сети AWS.

Keywhiz

Квадратный ключик помогает с секретами инфраструктуры, связками ключей GPG, учетными данными базы данных, включая сертификаты и ключи TLS, симметричные ключи, токены API и ключи SSH для внешних служб. Keywhiz – инструмент для обработки и обмена секретами.

Автоматизация в Keywhiz позволяет нам беспрепятственно распространять и устанавливать основные секреты для наших услуг, что требует согласованной и безопасной среды. Ключевые особенности Keywhiz:

  • Keywhiz Server предоставляет JSON API для сбора секретов и управления ими.
  • Он хранит все секреты только в памяти и никогда не записывается на диск
  • Пользовательский интерфейс сделан с AngularJS, чтобы пользователи могли проверять и использовать пользовательский интерфейс.

наперсник

наперсник является инструментом управления секретами с открытым исходным кодом, который обеспечивает удобное для пользователя хранилище и безопасный доступ к секретам. Confidant сохраняет секреты дополнительным способом в DynamoDB и генерирует уникальный ключ данных KMS для каждой модификации всего секрета с использованием симметричной криптографии с проверкой подлинности Fernet..

Он предоставляет веб-интерфейс AngularJS, который позволяет конечным пользователям эффективно управлять секретами, формами секретов служб и записью изменений. Некоторые функции включают в себя:

  • Аутентификация KMS
  • Шифрование версионных секретов в состоянии покоя
  • Удобный веб-интерфейс для управления секретами
  • Генерировать токены, которые можно применять для аутентификации между сервисами или для передачи зашифрованных сообщений между сервисами..

Сейф

Сейф это удобный инструмент, который обрабатывает, хранит и извлекает такие секреты, как токены доступа, личные сертификаты и ключи шифрования. Strongbox – это удобный уровень на стороне клиента. Он поддерживает ресурсы AWS для вас, а также безопасно их настраивает.

С помощью глубокого поиска вы можете быстро и эффективно проверить весь свой набор паролей и секретов. У вас есть возможность хранить учетные данные локально или в облаке. Если вы выбираете облако, то вы можете хранить его в iCloud, Dropbox, OneDrive, Google Drive, WebDAV и т. Д..

Strongbox совместим с другими безопасными паролями.

Azure Key Vault

Размещаете свои приложения на Azure? Если да, то это был бы хороший выбор.

Azure Key Vault позволяет пользователям управлять всеми секретами (ключами, сертификатами, строками подключения, паролями и т. д.) для своего облачного приложения в определенном месте. Он интегрирован из коробки с происхождением и целями секретов в Azure. В дальнейшем он может использоваться приложениями вне Azure..

Вы также можете использовать для повышения производительности за счет сокращения задержки ваших облачных приложений, храня криптографические ключи в облаке, а не локально.

Azure может помочь обеспечить защиту данных и соответствие требованиям.

Секреты докера

Секреты докера Позволяет легко добавить секрет в кластер, и он распределяется только по взаимно аутентифицированным соединениям TLS. Затем данные поступают на узел диспетчера в секретах Docker и автоматически сохраняются во внутреннем хранилище Raft, что гарантирует шифрование данных..

Секреты Docker могут быть легко применены для управления данными и, следовательно, для их передачи в контейнеры, которые имеют к ним доступ. Это предотвращает утечку секретов, когда они израсходованы приложением.

Нокс

Нокс, разработанная социальной сетью платформа Pinterest для решения их проблем с ручным управлением ключами и ведением контрольного журнала. Knox написан на Go, и клиенты общаются с сервером Knox с помощью REST API.

Knox использует временную временную базу данных для хранения ключей. Он шифрует данные, хранящиеся в базе данных, используя AES-GCM с помощью главного ключа шифрования. Нокс также доступен в виде изображения Docker.

Вывод

Я надеюсь, что вышеизложенное дает вам представление о некоторых из лучших программ для управления учетными данными приложений..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map