8 най-добрият софтуер за секретно управление за по-добра сигурност на приложенията

Осигурете си важното за вашия бизнес.


Има какво да мислите, докато работите с контейнери, Kubernetes, облак и тайни. Трябва да използвате и да свържете най-добрите практики за управление на идентичността и достъпа в допълнение към избора и прилагането на различни инструменти.

Независимо дали сте разработчик или специалист по системни администратори, трябва да поясните, че разполагате с правилните инструменти за избор, за да поддържате защитата си в среда. Приложенията се нуждаят от достъп до конфигурационни данни, за да работят правилно. И докато повечето конфигурационни данни са нечувствителни, някои от тях трябва да останат поверителни. Тези струни са известни като тайни.

Е, ако изграждате надеждно приложение, има вероятност функциите ви да изискват достъп до секрети или всякакъв друг вид чувствителна информация, която съхранявате. Тези секрети включват:

  • API ключове
  • Поверителни данни на базата данни
  • Шифрови ключове
  • Чувствителни настройки за конфигурация (имейл адрес, потребителски имена, флагове за отстраняване на грешки и т.н.)
  • Паролите

Въпреки това грижата за тези тайни сигурно може по-късно да се окаже трудна задача. Ето няколко съвета за програмисти и Sysadmins:

Зависимости от функцията на кръпка

Винаги не забравяйте да проследявате библиотеките, които се използват във функциите и да маркирате уязвимостите, като ги наблюдавате непрекъснато.

Използвайте шлюзовете на API като буфер за сигурност

Не излагайте функциите точно на взаимодействието с потребителя. Използвайте възможностите на API на вашите доставчици на облачни доставчици, за да включите още един слой сигурност на върха на вашата функция.

Защитете и проверете данните при транспортиране

Не забравяйте да използвате HTTPS за защитен канал за комуникация и да проверите SSL сертификати, за да защитите отдалечената идентичност.

Следвайте правилата за сигурно кодиране на кода на приложението

Без сървъри за хакване, нападателите ще насочат мнението си към слоя на приложението, така че полагайте допълнителни грижи, за да защитите кода си.

Управлявайте тайни в сигурно съхранение

Чувствителната информация може лесно да изтече, а остарелите идентификационни данни са подходящи за атаки с дъгова маса, ако пренебрегнете да приемете правилни тайни решения за управление. Не забравяйте да не съхранявате тайни в приложната система, променливите на средата или в системата за управление на изходния код.

Ключовото управление в света на сътрудничеството е много болезнено поради, наред с други причини, липса на знания и ресурси. Вместо това някои компании вграждат ключовете за криптиране и други софтуерни тайни директно в изходния код на приложението, което ги използва, въвеждайки риск от разкриване на тайните.

Поради липсата на твърде много решения от рафтовете, много компании се стремят да създадат свои инструменти за управление на тайни. Ето няколко, които можете да използвате за вашите изисквания.

свод

HashiCorp Vault е инструмент за сигурно съхраняване и достъп до тайни.

Той осигурява унифициран интерфейс за секретиране, като същевременно поддържа строг контрол на достъпа и регистриране на цялостен дневник за одит. Това е инструмент, който осигурява потребителски приложения и база за ограничаване на повърхностното пространство и времето за атака в случай на нарушение. Той дава API, който позволява достъп до тайни въз основа на политики. Всеки потребител на API трябва да провери и да види само тайните, за които е упълномощен да разглежда.

Сейфът криптира данни с помощта на 256-битов AES с GCM.

https://www.datocms-assets.com/2885/1543956852-vault-v1-0-ui-opt.mp4

Той може да натрупва данни в различни пакети като Amazon DynamoDB, Consul и много други. За услугите за одит Vault поддържа влизане в локален файл, Syslog сървър или директно в сокет. Vault регистрира информация за клиента, извършил действие, IP адреса на клиента, действието и по кое време е извършено

Стартирането / рестартирането винаги включва един или повече оператори за отпечатване на Vault. Работи предимно с маркери. Всеки знак се дава на политика, която може да ограничи действията и пътищата. Основните характеристики на трезора са:

  • Той криптира и дешифрира данни, без да ги съхранява.
  • Vault може да генерира тайни при поискване за някои операции, като например AWS или SQL бази данни.
  • Позволява репликация в множество центрове за данни.
  • Vault има вградена защита за тайно оттегляне.
  • Служи като секретно хранилище с подробности за контрол на достъпа.

AWS Secrets Manager

Очаквахте AWS в този списък. Не си ли?

AWS има решение на всеки проблем.

AWS Secrets Manager ви позволява бързо да завъртате, управлявате и изтегляте идентификационни данни на базата данни, ключове за API и други пароли. С помощта на Secrets Manager можете да защитите, анализирате и управлявате тайни, необходими за достъп до възможностите в AWS Cloud, на услуги на трети страни и на локални устройства.

Secrets Manager ви позволява да управлявате достъпа до тайни, използвайки фино разрешени разрешения. Основните характеристики на AWS Secrets Manager са:

  • Криптира тайните в покой с помощта на кодове за криптиране.
  • Също така, дешифрира тайната и след това тя предава сигурно през TLS
  • Предоставя мостри от кодове, които помагат за извикване на API на Secrets Manager
  • Той има библиотеки за кеширане от страна на клиента, за да подобри наличността и да намали латентността при използването на вашите тайни.
  • Конфигурирайте крайните точки на Amazon VPC (Virtual Private Cloud), за да поддържате трафика в AWS мрежата.

Keywhiz

Квадратни ключодържатели помага за инфраструктурни тайни, GPG ключодържатели, идентификационни данни на базата данни, включително TLS сертификати и ключове, симетрични ключове, API маркери и SSH ключове за външни услуги. Keywhiz е инструмент за боравене и споделяне на тайни.

Автоматизацията в Keywhiz ни позволява безпроблемно да разпространяваме и настройваме основните тайни за нашите услуги, което изисква последователна и сигурна среда. Основните характеристики на Keywhiz са:

  • Keywhiz Server предоставя JSON API за събиране и управление на тайни.
  • Той съхранява всички тайни само в паметта и никога не се повтаря на диск
  • Потребителският интерфейс е направен с AngularJS, така че потребителите могат да валидират и използват потребителския интерфейс.

верен приятел

верен приятел е инструмент за управление на тайни системи с отворен код, който поддържа удобно за потребителя съхранение и сигурен достъп до тайни. Поверител съхранява тайните по добавен начин в DynamoDB и генерира уникален ключ за KMS данни за всяка модификация на цялата тайна, използвайки симетрична автентифицирана криптография на Fernet.

Той осигурява уеб интерфейс AngularJS, който предоставя на крайните потребители ефективно управление на тайните, формите на секретите на услугите и записа на промените. Някои от функциите включват:

  • Удостоверяване на KMS
  • Криптиране в покой на разкрити тайни
  • Лесен за използване уеб интерфейс за управление на тайни
  • Генерирайте жетони, които могат да бъдат приложени за удостоверяване от услуга към услуга или за предаване на криптирани съобщения между услугите.

сейф

сейф е удобен инструмент, който обработва, съхранява и извлича тайни като маркери за достъп, частни сертификати и ключове за криптиране. Strongbox е удобен слой от страна на клиента. Той поддържа AWS ресурси за вас и също така ги конфигурира сигурно.

Можете бързо и бързо да проверите целия си набор от пароли и тайни с дълбокото търсене. Имате опция да съхранявате идентификационните данни локално или в облака. Ако изберете облак, тогава можете да изберете да съхранявате в iCloud, Dropbox, OneDrive, Google Drive, WebDAV и т.н..

Strongbox е съвместим с други безопасни пароли.

Azure Key Vault

Хостинг на вашите приложения на Azure? Ако отговорът е да, тогава това би бил добър избор.

Azure Key Vault позволява на потребителите да управляват всички тайни (ключове, сертификати, низове за връзка, пароли и т.н.) за своето облачно приложение на определено място. Той е интегриран извън кутията с произхода и целите на тайните в Azure. Освен това може да се използва от приложения извън Azure.

Можете също да използвате за подобряване на производителността, като намалите закъснението на облачните си приложения, като съхранявате криптографски ключове в облака, вместо на локални.

Azure може да помогне за постигане на изискване за защита на данните и спазване на изискванията.

Докер тайни

Докер тайни нека лесно да добавите тайната към клъстера и се споделя само чрез взаимно удостоверени TLS връзки. Тогава данните се достигат до мениджърския възел в Docker Secrets и той автоматично се записва във вътрешния магазин Raft, което гарантира, че данните трябва да бъдат криптирани.

Тайните на Docker могат лесно да се прилагат за управление на данните и по този начин за прехвърляне на същите в контейнерите, които имат достъп до тях. Той предпазва тайните от изтичане, когато се използват от приложението.

Нокс

Нокс, разработени от платформата за социални медии Pinterest, за да решат проблема си с ръчно управление на ключовете и запазване на одитна следа. Knox е написано на Go, а клиентите комуникират със Knox сървъра с помощта на REST API.

Knox използва летлива временна база данни за съхранение на ключове. Той криптира данните, съхранявани в базата данни с помощта на AES-GCM с главен ключ за криптиране. Knox се предлага и като изображение на Докер.

заключение

Надявам се, че горното ви дава представа за някои от най-добрия софтуер за управление на идентификационните данни на приложенията.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map