8 Millor programari de gestió secreta per millorar la seguretat de les aplicacions

Assegureu-vos què importa al vostre negoci.


Hi ha molt a pensar en treballar amb contenidors, Kubernetes, núvol i secrets. Heu d’utilitzar i relacionar les bones pràctiques relacionades amb la gestió de la identitat i l’accés, a més de triar i dur a terme diverses eines.

Tant si ets un desenvolupador com un professional de sysadmin, has de deixar clar que tens les eines de tria adequades per mantenir els teus entorns segurs. Les aplicacions necessiten l’accés a les dades de configuració al seu lloc per funcionar correctament. I, tot i que la majoria de les dades de configuració no són sensibles, algunes han de romandre confidencials. Aquestes cadenes es coneixen com a secrets.

Bé, si creeu una aplicació fiable, és probable que les vostres funcions requereixin accedir a secrets o a qualsevol tipus d’informació sensible que conserveu. Aquests secrets inclouen:

  • Claus API
  • Credencials de la base de dades
  • Claus de xifrat
  • Configuració de configuració sensible (adreça de correu electrònic, noms d’usuari, indicadors de depuració, etc.)
  • Contrasenyes

Tanmateix, tenir cura d’aquests secrets de forma segura pot resultar ser una tasca difícil. A continuació, aquí teniu uns quants consells per als desenvolupadors i els Sysadmins:

Dependències de la funció de remenat

Recordeu-vos sempre de fer un seguiment de les biblioteques que s’utilitzen en les funcions i de marcar les vulnerabilitats supervisant-les contínuament.

Feu servir les passarel·les de l’API com a amortidor de seguretat

No exposeu funcions precisament a la interacció amb l’usuari. Aprofiteu les funcions de la passarel·la API dels proveïdors de núvol per incloure una altra capa de seguretat a la vostra funció.

Assegurar i verificar les dades en trànsit

Assegureu-vos d’aprofitar HTTPS per a un canal de comunicació segur i de verificar certificats SSL per protegir la identitat remota.

Seguiu les regles de codificació segures del codi d’aplicació

Sense servidors per piratejar, els atacants passaran a la ment a la capa d’aplicacions, de manera que tindreu més cura per protegir el vostre codi.

Gestiona els secrets d’emmagatzematge segur

La informació sensible es pot filtrar fàcilment i les credencials desactualitzades són aptes per als atacs de taula de l’arc de Sant Martí si deixeu d’adoptar solucions de gestió secretes adequades. Recordeu no emmagatzemar secrets al sistema d’aplicació, a les variables d’entorn ni a un sistema de gestió de codis font.

La gestió clau del món que coopera és molt dolorosa, entre altres motius, per falta de coneixement i recursos. En canvi, algunes empreses incorporen les claus de xifratge i altres secrets de programari directament al codi font de l’aplicació que les utilitza, introduint el risc d’exposar els secrets..

A causa de la manca de solucions fora de la prestatgeria, moltes empreses han buscat construir les seves pròpies eines de gestió de secrets. A continuació, en detallem alguns dels seus requeriments.

Volta

Volta HashiCorp és una eina per emmagatzemar i accedir a secrets.

Proporciona una interfície unificada per secretar, mantenint un control d’accés estret i registrant un registre complet d’auditoria. És una eina que assegura aplicacions i bases d’usuaris per limitar l’espai superficial i el temps d’atac en cas d’incompliment. Proporciona una API que permet accedir a secrets basats en polítiques. Qualsevol usuari de l’API ha de verificar i només ha de veure els secrets per als quals està autoritzat a veure.

Vault xifra dades mitjançant AES de 256 bits amb GCM.

https://www.datocms-assets.com/2885/1543956852-vault-v1-0-ui-opt.mp4

Pot acumular dades en diversos servidors com Amazon DynamoDB, Cònsol i molt més. Per als serveis d’auditoria, Vault admet el registre a un fitxer local, a un servidor Syslog o directament a un socket. Vault registra informació sobre el client que va realitzar una acció, l’adreça IP dels clients, l’acció i en quin moment es va realitzar

L’inici / reinici sempre implica un o diversos operadors per tornar a segellar Vault. Funciona principalment amb fitxes. Cada testimoni s’ofereix a una política que pot limitar les accions i les rutes. Les característiques principals del Vault són:

  • Xifra i desxifra les dades sense emmagatzemar-les.
  • Vault pot generar secrets sota demanda per a algunes operacions, com ara bases de dades AWS o SQL.
  • Permet la replicació a diversos centres de dades.
  • Vault té una protecció integrada per a la revocació secreta.
  • Serveix com a dipòsit secret amb detalls de control d’accés.

AWS Secrets Manager

Heu esperat AWS en aquesta llista. No tu??

AWS té una solució a tots els problemes.

AWS Secrets Manager us permet rotar, gestionar i recuperar ràpids les credencials de base de dades, les claus de l’API i altres contrasenyes. Mitjançant Secrets Manager, podeu protegir, analitzar i gestionar secrets necessaris per accedir a les capacitats del núvol AWS, en serveis de tercers i locals.

Secrets Manager us permet gestionar l’accés als secrets mitjançant permisos de grana fina. Les característiques principals d’AWS Secrets Manager són:

  • Xifra els secrets en repòs mitjançant claus de xifrat.
  • A més, desxifra el secret i després transmet de forma segura a través de TLS
  • Proporciona mostres de codi que ajuden a trucar les API de Secrets Manager
  • Disposa de biblioteques en caché del costat del client per millorar la disponibilitat i reduir la latència d’ús dels vostres secrets.
  • Configura els punts finals dels Amazon VPC (Virtual Private Cloud) per mantenir el trànsit a la xarxa AWS.

Clau de claus

Clau quadrat ajuda amb secrets d’infraestructura, claus GPG, credencials de base de dades, inclosos certificats i claus TLS, claus simètriques, fitxes API i claus SSH per a serveis externs. Keywhiz és una eina per manejar i compartir secrets.

L’automatització a Keywhiz ens permet distribuir i configurar perfectament els secrets imprescindibles per als nostres serveis, cosa que requereix un entorn consistent i segur. Les característiques principals de Keywhiz són:

  • Keywhiz Server proporciona API JSON per recollir i gestionar secrets.
  • Emmagatzema tots els secrets només a la memòria i no es torna mai al disc
  • La interfície d’usuari es realitza amb AngularJS per tal que els usuaris puguin validar i utilitzar la interfície d’usuari.

Confiant

Confiant és una eina de gestió de secrets de codi obert que manté l’emmagatzematge fàcil i fàcil d’accés als secrets de forma segura. Confidant emmagatzema secrets de forma addenda a DynamoDB i genera una clau de dades KMS única per a totes les modificacions de tots els secrets, utilitzant criptografia autentificada simètrica de Fernet.

Proporciona una interfície web AngularJS que proporciona als usuaris finals la gestió eficient dels secrets, les formes de secrets dels serveis i el registre dels canvis. Algunes de les funcions inclouen:

  • Autenticació KMS
  • Encriptació en repòs de secrets versionats
  • Una interfície web fàcil d’utilitzar per gestionar secrets
  • Genereu fitxes que es puguin aplicar per a l’autenticació servei a servei o per a passar missatges xifrats entre serveis.

Strongbox

Strongbox és una eina útil que gestiona, emmagatzema i recupera secrets, com ara fitxes d’accés, certificats privats i claus de xifrat. Strongbox és una capa de conveniència del client. Manté els recursos AWS per a vosaltres i també els configura de forma segura.

Podeu consultar ràpidament tot el conjunt de contrasenyes i secrets de manera instantània i eficaç, amb la cerca profunda. Teniu una opció per emmagatzemar les credencials localment o al núvol. Si trieu un núvol, podeu triar emmagatzemar a iCloud, Dropbox, OneDrive, Google Drive, WebDAV, etc..

Strongbox és compatible amb altres contrasenyes segures.

Volta clau d’Azure

Feu allotjament a les vostres aplicacions a Azure? En cas afirmatiu, aquesta seria una bona elecció.

Volta clau d’Azure permet als usuaris gestionar tots els secrets (claus, certificats, cadenes de connexió, contrasenyes, etc.) per a la seva aplicació al núvol en un lloc concret. Està integrat fora de la caixa amb orígens i objectius de secrets d’Azure. Es pot utilitzar més a aplicacions fora d’Azure.

També podeu utilitzar per millorar el rendiment reduint la latència de les vostres aplicacions en núvol emmagatzemant claus criptogràfiques al núvol, en lloc de locals.

Azure pot ajudar a aconseguir la protecció de dades i els requisits de compliment.

Secrets del portador

Secrets del portador us permetrà afegir fàcilment el secret al clúster i només es comparteix amb les connexions TLS mútuament autenticades. A continuació, s’arriba a les dades al node del gestor en secrets de Docker i s’estalvia automàticament al magatzem de la bassa interna, que garanteix que les dades s’han de xifrar..

Els secrets de Docker es poden aplicar fàcilment per gestionar les dades i, per tant, transferir les mateixes als contenidors que hi tenen accés. Evita que els secrets es filtrin quan l’aplicació l’utilitza.

Knox

Knox, desenvolupat per la plataforma de xarxes socials Pinterest per resoldre el seu problema mitjançant la gestió de claus manualment i el manteniment d’un rastre d’auditoria. Knox està escrit a Go i els clients es comuniquen amb el servidor Knox mitjançant una API REST.

Knox utilitza una base de dades temporal volàtil per emmagatzemar claus. Xifra les dades emmagatzemades a la base de dades mitjançant AES-GCM amb una clau de xifrat mestre. Knox també està disponible com a imatge Docker.

Conclusió

Espero que l’anterior us ofereix una idea sobre alguns dels millors programes per gestionar les credencials d’aplicacions.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map