1、HashicorpVault简介HashiCorpVault是一款企业级隐私信息管理工具。Vault的创建者HashiCorp是一家专注于DevOps工具链的公司。其明星产品包括Vagrant、Packer、Terraform、Consul、Nomad等,再加上Vault,这些工具贯穿于持续交付的全过程。HashicorpVault是一个基于身份验证的机密数据安全和加密管理系统。机密数据是您想要严格控制访问的任何内容,例如API加密密钥、密码或证书。Vault提供由身份验证和授权方法管理的加密服务。使用Vault的UI、CLI或HTTPAPI,可以安全地存储和管理对机密和其他敏感数据的访问,并严格控制数据访问和可审计性。今天的许多系统需要访问大量机密数据:数据库凭据、外部服务的API密钥、面向服务的架构通信的凭据等。要知道谁在访问哪些机密已经很困难了。如果没有自定义解决方案,几乎不可能添加密钥轮转、安全存储和详细的审计日志。这就是Vault介入的地方。以下是Vault的主要特性:静态存储:可以将任意键/值存储在Vault中。Vault在保存这些机密数据之前对其进行加密,因此获得对原始存储的访问权限不足以访问您的机密数据。Vault可以写入磁盘、Consul等。·动态存储:Vault可以为某些系统按需生成机密数据,例如AWS或SQL数据库。例如,当应用程序需要访问S3存储桶时,它会向Vault索取凭据,Vault会根据需要生成具有有效权限的AWS密钥对。创建这些动态机密后,Vault会在租约到期时自动撤销它们。数据加密:Vault可以在不存储数据的情况下对数据进行加密和解密。这允许安全团队定义加密参数,开发人员可以将加密数据存储在SQL数据库等地方,而无需设计自己的加密方法。租约和续订:Vault中的所有机密数据都有与之关联的租约。在租约结束时,Vault将自动撤销此机密数据。客户端还可以通过内置的续订API续订租约。撤销:Vault内置了对秘密撤销的支持。Vault不仅可以撤销单个秘密,还可以撤销秘密树,例如特定用户读取的所有秘密,或特定类型的所有秘密。撤销有助于密钥翻转并在入侵时锁定系统。Vault带有各种称为秘密引擎的可插入组件和允许您与外部系统集成的身份验证方法。这些组件的目的是管理和保护动态基础设施中的秘密(例如数据库凭证、密码、API密钥)。2、引入Vault的可行性分析(1)企业信息系统中敏感信息的安全现状在大多数企业信息系统或平台中,都存在着很大一部分敏感数据。在分析某企业信息化软件时,发现以下信息属于敏感数据,应该具有代表性:系统使用的敏感配置信息,如数据库账号信息等;用户帐号和密码,登录web使用;主机账号、密码、密钥,使用远程桌面时使用;数据库帐号、密码,登录数据库时使用。对于这些敏感信息,主要采用以下方法进行安全保护:与系统配置相关的敏感信息,无安全措施;用户密码采用MD5+SHA256静态加密;主机密码、密钥和数据库密码在python加密模块中用于静态加密。这些敏感数据的存储位置也大致分为两个地方:系统的敏感配置信息以明文形式存储;系统使用的加密方式和salt存储在git上;加密数据存储在数据库中。(2)当前企业信息系统加密存储方式的风险分析要解密一段加密的敏感数据,需要三个方面的信息:加密方式+salt+加密数据。这三种数据的存储本身就成为安全隐患所在。目前很多企业的信息化建设中,敏感信息随意存储,管理无序,缺乏系统的安全管理方法和制度。因此,这些敏感信息的风险非常高。(3)引入Vault的可行性分析Vault的字面意思是“金库”。对于静态加密模型最重要的是加密密钥的存储位置和对这些密钥的访问控制。如果密钥能够得到严格的保护,能够被指定的用户管理,能够被特定的服务所使用,那么静态加密的安全性将会大大提高。对于企业信息系统来说,目前的安全保障主要还是靠产品本??身。如果能够借助金库将数据存储在金库中,用户保管好自己的密钥,那么系统的安全性将大大增强。大保证。根据Vault的特点和企业信息系统的现状,我们可以做出如下安全提升方案:系统配置信息:如数据库凭证,采用静态存储方案,不再以明文形式存储在配置文件中;用户账户信息、主机凭证信息:采用静态存储方案,将密码和SSL密钥静态存储在Vault中,直接凭证信息不再存储在信息系统中;数据库堡垒机凭证信息:支持静态和动态两种存储方式,可以让用户自行选择,不会直接将凭证信息存储在信息系统中。实施安全增强方案后,用户在使用信息系统时将有多种安全方案可供选择。他们可以选择默认的平台加密解决方案或安全性更高的Vault解决方案,以提高用户的选择权和灵活性。有了这样的安全提升方案,在PaaS/SaaS平台中,每个租户管理员自己配置独立的安全方案,安全优势会更加明显。三、Vault成本分析简介HashicorpVault提供开源版本,授权使用MPLV2.0协议,商业软件可免费使用;需要考虑接入的人工成本,主要包括产品、研发、测试的人工成本。4、引入Vault提升产品亮点近年来,在信息化全面普及的大环境下,各种安全问题层出不穷,国家对信息化安全的重视程度也越来越高。《网络安全法》、《数据安全法》、相继发布。相关企业和个人对信息安全的要求越来越高。在企业信息系统中引入Vault,提高敏感数据的安全性,可以使企业遵守信息安全管理,成为企业信息系统的安全亮点。
