Quản lý đúng cách các bí mật của ứng dụng luôn là một thách thức. Những thách thức mới đến với việc áp dụng đám mây. Có một bài thuyết trình tuyệt vời của OWASP về thực tế và những thách thức của việc lưu trữ bí mật trên đám mây.
Bạn có thể ngạc nhiên khi biết rằng lưu trữ bí mật vào mã nguồn là một trong những giải pháp (hoặc "kiến trúc") được trình bày. Đó là bởi vì, ngay bây giờ, không có kiến trúc hay cách thức hoàn hảo nào để làm việc này. Cuối cùng, bí mật của bạn có thể được mã hóa ... nhưng điều gì đang bảo vệ khóa mã hóa? "Rùa hết đường xuống", họ nói.
Mỗi loại quản lý bí mật đều có điểm mạnh và điểm yếu và bài thuyết trình đã đề cập đến điều đó. Thay vào đó, tôi sẽ cố gắng tìm hiểu một số tính năng bạn có thể đang tìm kiếm trong một giải pháp quản lý (thông tin xác thực) bí mật:
- Kiểm soát truy cập: bạn có thể cấp quyền truy cập ghi vào quản trị viên và đọc quyền truy cập vào các ứng dụng không? Bạn có thể giới hạn những ứng dụng nào có thể đọc được không (ứng dụng A chỉ có quyền truy cập vào những bí mật đó)?
- Nhật ký kiểm toán: cần thiết cho nhiều báo cáo khen ngợi và một cách tốt để tìm hiểu xem có gì không ổn
- Lưu trữ an toàn các bí mật: làm thế nào là giải pháp lưu trữ các bí mật? DB được mã hóa? Mã hóa FS? Ai / cái gì giữ khóa mã hóa, nếu có? Khóa này được sử dụng như thế nào - một lần khi khởi động và sau đó được loại bỏ an toàn?
- Xoay hoặc gia hạn khóa / mật khẩu: nếu một bí mật bị xâm phạm, bạn có thể thu hồi nó và gửi một bí mật cập nhật cho các ứng dụng không? Các ứng dụng có thể tập hợp dịch vụ quản lý bí mật không?
- Khả năng tương thích: Một số giải pháp này cung cấp tích hợp chặt chẽ với các ngôn ngữ hoặc khung nhất định. Một số cung cấp API REST. Bạn có quan tâm đến điều này?
Bằng cách xem xét các mục này, chúng quan trọng với bạn như thế nào và chúng được triển khai theo giải pháp như thế nào, bạn sẽ có thể chọn một trong những dịch vụ quản lý bí mật ngoài kia .