云服務在公司的許多項目中都發揮著重要作用。我們自己使用各種云服務,并為客戶提供云開發和維護服務。在使用云技術時,確保敏感和有價值的數據安全是重中之重。
以前,我們用鐵鎖保護的東西現在用密碼保護。我們每天都以用戶憑據,密碼,加密密鑰,配置文件和API令牌的形式使用機密。考慮到它們的重要性,應該對安全密碼進行負責任的管理。保護不善的機密可能會導致破壞性的數據泄露以及財務和聲譽損失。考慮一下,最近與Facebook有關的情況,當時有近3000萬用戶的個人數據由于訪問令牌被盜而暴露。
根據我們的經驗,這里分享有關如何管理云中的密碼,如何使用哪些工具以及準備應對哪些挑戰等相關見解。
管理云中的密碼
服務提供商(CSP)的職責范圍完全取決于我們所使用的云類型。云可以是私有、混合或公共的。在公共云或混合云中,關鍵數據安全職責在云主機和用戶之間分配。但是,最大程度地利用CSP提供的內容取決于您(用戶)。而且,如果您的CSP的本機機密管理解決方案不能滿足您的需求,則您有責任找到更合適的設備并完全保護您的關鍵數據。另外,請確保評估您使用的所有機密管理工具的配置,因為默認設置可能并不總是對您有利。
考慮到當前的任務,事先計劃您的密碼管理策略,然后選擇最能滿足您需求的解決方案。大多數CSP提供用于管理其云中機密的本機解決方案:用于Google Cloud的Secret Manager,用于Microsoft Azure的Key Vault,用于Amazon Web Services(AWS)的密鑰管理服務(KMS)。雖然這些是針對特定云的本機解決方案,但其中大多數工具也可以在多云環境中使用。對于那些無法做到的,CSP通常提供兼容多云的替代方案(例如適用于AWS KMS的AWS CloudHSM)。還有一些云平臺(例如HashiCorp Vault)未提供的獨立解決方案,以及密碼管理功能,這些功能是容器平臺(如Kubernetes和Docker)的一部分。
當前,AWS提供了多種工具來管理不同類別的機密。KMS是用于處理各種機密(特別是加密密鑰)的通用解決方案。反過來,參數存儲和機密管理器在存儲參數,機密和配置信息方面效果更好。這兩個服務大致相同,但Secrets Manager可以生成隨機機密并輪換機密值。您還可以通過AWS Lambda在AWS中自動執行密碼輪換。
管理密碼時會遇到什么挑戰
無論您是在不同的云服務中,還是在特定的基于云的應用程序中使用機密,正確管理機密程序都可以為您帶來很多好處:
1.粒度數據訪問。
2.安全密碼傳輸。
3.自動憑證滾動。
4.微服務中的輕松機密管理。
5.用于多環境部署工件的單個存儲。
但是,要構建機密管理策略,您需要做出許多選擇。這就是一切變得更加困難的地方。您需要注意的一件事是數據加密。根據經驗,所有關鍵數據都應加密。但是,區分必須加密的數據類型可能具有挑戰性。
首先,保護對您的應用程序或基礎架構至關重要的數據。另外,不要將機密(密鑰和密碼)與標識符(用戶名)混為一談,因為丟失后者比丟失前者的危害要小得多。
鑒于驗證用戶身份至關重要,請確保實施適當的身份管理機制。此外,通過定義具有不同數據訪問級別的多個角色并將這些角色添加到您的密碼管理解決方案中,確保只有少數人可以訪問受限制的數據。
最后,您需要應付實施開銷。具有少量配置選項的基本解決方案對于小型項目可能就足夠了。但是,如果您打算將來擴展項目,則盡早開始采用復雜的機密管理方法是明智的。這樣,在需要進行重大改進時,您就不必浪費資源來重新配置整個系統。
請牢記這些挑戰,以改善您的密碼管理程序并確保對最有價值的數據進行適當的保護。