盗墓笔记txt全集下载,小说阅读网站

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

容器秘密管理的8個優(yōu)秀實踐

秘密管理是容器安全的重要組成部分。我們在本文中介紹管理秘密(即密碼、API密鑰和令牌等)的幾個優(yōu)秀實踐，以便緩解容器安全風(fēng)險和漏洞。

成都創(chuàng)新互聯(lián)公司從2013年開始，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元青銅峽做網(wǎng)站,已為上家服務(wù),為青銅峽各地企業(yè)和個人服務(wù),聯(lián)系電話:13518219792

[[263604]]

1. 區(qū)別秘密和標(biāo)識符

在容器環(huán)境下，秘密是指一旦暴露在未經(jīng)授權(quán)的個人或?qū)嶓w面前，貴公司、客戶或應(yīng)用程序?qū)⒚媾R風(fēng)險的任何信息。隨著系統(tǒng)變得更復(fù)雜，涉及的秘密信息量隨之增加，涉及的風(fēng)險也隨之加大。系統(tǒng)中的不定因素越多，面臨的風(fēng)險就越大。

值得一提的是，并非所有信息都是秘密信息。一些信息(比如用戶名和TLS證書)是標(biāo)識符，需要有選擇地加以共享。標(biāo)識符并非完全沒有風(fēng)險，但其風(fēng)險遠(yuǎn)低于秘密。然而，與標(biāo)識符有關(guān)的密碼和密鑰應(yīng)被視為秘密。

2. 建立信任圈

系統(tǒng)的某些部分可以完全信任(比如CPU、RAM、root用戶或擁有適當(dāng)安全策略的秘密管理工具)。系統(tǒng)的一些部分只能選擇性地信任(比如被授予明確權(quán)限，以訪問受保護(hù)的某些秘密或S3等云服務(wù)的員工)。外部實體默認(rèn)情況下不可信任。它們包括隨機(jī)用戶或WiFi熱點。透露給這些實體的秘密會泄密，因此導(dǎo)致風(fēng)險。

3. 深入了解信任鏈

秘密流經(jīng)系統(tǒng)時，它們觸及這些不同的實體。秘密所走的路徑是決定秘密是安全還是已泄密的關(guān)鍵。每一步都是“一環(huán)”，全部環(huán)連起來就組成了“一條鏈”。全面深入了解整條鏈很重要。這樣一來，你就可以建立信任鏈，確保只有信任圈內(nèi)的實體才能訪問秘密。

4. 使用KMS加密數(shù)據(jù)

對機(jī)密數(shù)據(jù)而言，光使用防火墻不夠安全;受密碼保護(hù)的數(shù)據(jù)庫也不夠安全。它們離完全泄密只有一步之遙。相反，需要的是可以在多個層面加密數(shù)據(jù)的密鑰管理服務(wù)(KMS)。你應(yīng)該能夠使用加密密鑰加密整個文件，并使用不同的加密密鑰加密該文件中的部分?jǐn)?shù)據(jù)。

這樣一來，你只能共享數(shù)據(jù)的特定部分，而不必讓其余數(shù)據(jù)面臨風(fēng)險。這限制了潛在威脅影響范圍。然而，在本地環(huán)境創(chuàng)建和管理加密密鑰很繁瑣。如果使用云原生容器應(yīng)用程序，有必要使用基于云的加密服務(wù)，比如AWS KMS或類似的替代方案。它們擁有高級功能，可以自動化并極大地控制加密密鑰的創(chuàng)建和管理。

5. 經(jīng)常輪換秘密

長期保持不變的秘密更有可能泄密。隨著更多的用戶訪問秘密，某人有可能處理不當(dāng)，泄露給未經(jīng)授權(quán)的實體。秘密可以通過日志和緩存數(shù)據(jù)泄露出去。它們可以共享用于調(diào)試;一旦調(diào)試完成，就不可更改或撤銷。它們可能被黑客破解。由于所有這些原因，秘密應(yīng)經(jīng)常輪換。

6. 自動創(chuàng)建密碼

創(chuàng)建密碼和訪問密鑰的方式對其安全性至關(guān)重要。人們手動創(chuàng)建密碼會帶來災(zāi)難。據(jù)Troy Hunt聲稱，85%的密碼都不安全。消除糟糕密碼的方法是，使用機(jī)器自動生成的密碼，這些密碼具有獨特性，不易被破解。今天，大多數(shù)秘密管理工具都擁有密碼自動生成這項默認(rèn)功能。

7. 負(fù)責(zé)任地存儲秘密

秘密管理工具對容器安全而言已變得不可或缺。它們的首要重心是防止秘密被保存在磁盤上、嵌入代碼中，或者嵌入到秘密管理器本身之外的系統(tǒng)的任何部分。這是個文化問題，很難在大團(tuán)隊中實施。然而有必要使用秘密工具來創(chuàng)建密碼，并借助到期失效的令牌，使用同樣的工具共享密碼。

8. 發(fā)現(xiàn)未經(jīng)授權(quán)的訪問

盡管你努力了，但在某個時候，秘密還是可能會泄密。在這種情況下，你的所有先前計劃將經(jīng)受測試，盡早發(fā)現(xiàn)事件(這是你需要部署安全監(jiān)控工具的原因)。

你還應(yīng)準(zhǔn)備好制定計劃，一旦發(fā)現(xiàn)泄密就迅速響應(yīng)。假設(shè)你在泄密發(fā)生一小時后發(fā)現(xiàn)了情況。你能多快地禁止訪問惡意用戶或?qū)嶓w?在這里，全面控制系統(tǒng)中每個點的密碼和經(jīng)過深思熟慮的架構(gòu)必不可少。需要更改系統(tǒng)中的所有密碼，作為預(yù)防措施。這可以輕松實現(xiàn)嗎?一旦所有密碼更改，能不能通知合法用戶、能不能立即為他們授予訪問權(quán)限?萬一系統(tǒng)宕機(jī)，密碼管理器是否仍正常運行?

確保你能夠發(fā)現(xiàn)泄密，并已制定了管理上面列出的所有考量因素的計劃。

結(jié)論

容器為IT管理員和DevSecOps團(tuán)隊帶來了新的安全挑戰(zhàn)。然而，如果了解潛在風(fēng)險以及減輕這些風(fēng)險的方法，你可以建立起更可靠、幾乎萬無一失的安全機(jī)制。

新聞名稱：容器秘密管理的8個優(yōu)秀實踐
鏈接地址：http://fisionsoft.com.cn/article/djdphph.html

新聞中心

其他資訊