欢迎浏览sook云!

网站地图

当前位置:主页 > 云服务 >

代理云大数据算法-身份

时间:2020-11-08 07:33

人气:

作者:sook云

标签: 代理  身份 

导读:当组织采用一个或多个公共云时,他们面临的挑战是安全地提供对机密材料的访问,例如用户名和密码、API令牌、加密密钥和TLS证书。这个问题被称为秘密管理,有几个主要挑战:鉴...

代理云身份

当组织采用一个或多个公共云时,他们面临的挑战是安全地提供对机密材料的访问,例如用户名和密码、API令牌、加密密钥和TLS证书。这个问题被称为秘密管理,有几个主要挑战:鉴定或断言身份。最近的许多攻击表明,基于周边的安全措施在阻止现代威胁方面是不够的。因此,私有网络需要运行零信任策略。客户端必须提供允许验证其身份和验证其访问的凭据。授权。一旦客户身份被验证,并不意味着他们应该有权获得所有机密材料。相反,访问应该基于需要知道的基础上(也称为默认拒绝),最大限度地减少妥协的爆炸半径。这意味着我们需要管理授权,或者"谁可以访问什么"。审核访问权限。一旦我们核实了客户并授权他们访问机密材料,我们希望保持一个审计跟踪,以便在妥协后或为了日常审计目的进行取证。审计跟踪为我们提供了不可抵赖性,或者一个强有力的保证,即某个特定的客户确实访问了某些东西。支持多种环境、客户机和系统。最后一个挑战是在不同的环境(VMware、AWS、Azure、GCP等)、客户端(开发人员、操作员、应用程序、Shell脚本等)和系统(MySQL、Cassandra、RabbitMQ、MongoDB等)之间以一致的方式执行上述操作。组合爆炸使得构建自定义解决方案变得不切实际。»使用保险库代理访问创建Vault的目的是解决机密管理难题,同时代理访问多种多样且不断增长的环境、客户端和系统。Vault提供了一致的API、用户和组管理、授权策略和插件体系结构。插件架构允许轻松扩展Vault,以解决多个不同类别的代理难题:身份验证插件。身份验证插件解决了断言客户端身份的第一个挑战。Vault与LDAP/activedirectory、idp(如Okta和Centrify)、云(如AWS和GCP)、配置管理工具以及Kubernetes等平台进行了本机集成。这允许人工操作员以交互方式和编程方式验证应用程序。秘密插件。秘密插件解决了与许多不同系统集成的挑战,如数据库(MySQL、PostgreSQL、MSSQL、Oracle等)、消息队列、云服务提供商等。通过几行代码,Vault可以为每个客户端生成唯一的凭据,以避免共享机密并降低攻击向量。审核插件。许多组织都有集中式日志记录或审核日志记录的现有解决方案,因此Vault允许集成自定义审核后端。Vault与基于文件、基于套接字和syslog进行了本机集成,以进行审核。»跨越云层边界许多云提供商通常通过元数据API向正在运行的实例公开API令牌。这使得应用程序可以轻松地向云服务(如blob存储)发出请求,而无需显式地管理令牌。这对于在单个云中运行的单租户vm来说非常方便,但是对于多租户或多云架构来说,这是不够的。假设一个同时运行在AWS和GCP中的应用程序需要访问aws3和GCP云存储。每个应用程序实例只能在一个地方运行,这意味着它只有一个云的令牌。Vault通过允许云既是身份验证又是机密插件来解决这个问题。假设一个应用程序正在AWS中运行,并且需要GCP API令牌,下面是它的工作方式:在这里,我们可以看到Vault如何帮助代理访问云中的数据,也可以跨云进行访问。这可以简化构建多云应用程序。Adobe的Chandler Allphin在2017年HashiConf大会上发表了一篇演讲,谈到他们使用Vault来解决这个问题。»结论随着每一个新的公共安全漏洞,组织对改善其安全态势越来越感兴趣。假设你的网络已经或将要被破坏,迫使一种新的方法来管理秘密,其中的访问是仔细把关和审计。Vault提供了一种高度灵活的解决方案,可以支持现有的各种环境、客户端和系统。了解有关Vault的详细信息:https://www.vaultproject.io

温馨提示:以上内容整理于网络,仅供参考,如果对您有帮助,留下您的阅读感言吧!
相关阅读
本类排行
相关标签
本类推荐

关于我们 | 版权声明 | 广告服务 | 友情链接 | 联系我们 | 网站地图

Copyright © 2002-2020 sook云 版权所有 备案号:豫ICP备xxxxxxxx号
本站资料均来源互联网收集整理,作品版权归作者所有,如果侵犯了您的版权,请跟我们联系。