信息化觀察網(wǎng)

云計(jì)算徹底改變了我們處理有價(jià)值數(shù)據(jù)的方式。以前鎖定在保險(xiǎn)箱中的東西現(xiàn)在存儲(chǔ)在公用或?qū)Ｓ梅?wù)器以及虛擬數(shù)據(jù)中心中。根據(jù)高盛（Goldman Sachs）分析師的說(shuō)法，截至2020年，所有IT工作負(fù)載中約有23％在云中處理。到2023年，這一數(shù)字可能高達(dá)43％。

云服務(wù)在公司的許多項(xiàng)目中都發(fā)揮著重要作用。我們自己使用各種云服務(wù)，并為客戶提供云開發(fā)和維護(hù)服務(wù)。在使用云技術(shù)時(shí)，確保敏感和有價(jià)值的數(shù)據(jù)安全是重中之重。

以前，我們用鐵鎖保護(hù)的東西現(xiàn)在用密碼保護(hù)。我們每天都以用戶憑據(jù)，密碼，加密密鑰，配置文件和API令牌的形式使用機(jī)密。考慮到它們的重要性，應(yīng)該對(duì)安全密碼進(jìn)行負(fù)責(zé)任的管理。保護(hù)不善的機(jī)密可能會(huì)導(dǎo)致破壞性的數(shù)據(jù)泄露以及財(cái)務(wù)和聲譽(yù)損失?？紤]一下，最近與Facebook有關(guān)的情況，當(dāng)時(shí)有近3000萬(wàn)用戶的個(gè)人數(shù)據(jù)由于訪問(wèn)令牌被盜而暴露。

根據(jù)我們的經(jīng)驗(yàn)，這里分享有關(guān)如何管理云中的密碼，如何使用哪些工具以及準(zhǔn)備應(yīng)對(duì)哪些挑戰(zhàn)等相關(guān)見解。

管理云中的密碼

服務(wù)提供商（CSP）的職責(zé)范圍完全取決于我們所使用的云類型。云可以是私有、混合或公共的。在公共云或混合云中，關(guān)鍵數(shù)據(jù)安全職責(zé)在云主機(jī)和用戶之間分配。但是，最大程度地利用CSP提供的內(nèi)容取決于您（用戶）。而且，如果您的CSP的本機(jī)機(jī)密管理解決方案不能滿足您的需求，則您有責(zé)任找到更合適的設(shè)備并完全保護(hù)您的關(guān)鍵數(shù)據(jù)。另外，請(qǐng)確保評(píng)估您使用的所有機(jī)密管理工具的配置，因?yàn)槟J(rèn)設(shè)置可能并不總是對(duì)您有利。

考慮到當(dāng)前的任務(wù)，事先計(jì)劃您的密碼管理策略，然后選擇最能滿足您需求的解決方案。大多數(shù)CSP提供用于管理其云中機(jī)密的本機(jī)解決方案：用于Google Cloud的Secret Manager，用于Microsoft Azure的Key Vault，用于Amazon Web Services（AWS）的密鑰管理服務(wù)（KMS）。雖然這些是針對(duì)特定云的本機(jī)解決方案，但其中大多數(shù)工具也可以在多云環(huán)境中使用。對(duì)于那些無(wú)法做到的，CSP通常提供兼容多云的替代方案（例如適用于AWS KMS的AWS CloudHSM）。還有一些云平臺(tái)（例如HashiCorp Vault）未提供的獨(dú)立解決方案，以及密碼管理功能，這些功能是容器平臺(tái)（如Kubernetes和Docker）的一部分。

當(dāng)前，AWS提供了多種工具來(lái)管理不同類別的機(jī)密。KMS是用于處理各種機(jī)密（特別是加密密鑰）的通用解決方案。反過(guò)來(lái)，參數(shù)存儲(chǔ)和機(jī)密管理器在存儲(chǔ)參數(shù)，機(jī)密和配置信息方面效果更好。這兩個(gè)服務(wù)大致相同，但Secrets Manager可以生成隨機(jī)機(jī)密并輪換機(jī)密值。您還可以通過(guò)AWS Lambda在AWS中自動(dòng)執(zhí)行密碼輪換。

管理密碼時(shí)會(huì)遇到什么挑戰(zhàn)

無(wú)論您是在不同的云服務(wù)中，還是在特定的基于云的應(yīng)用程序中使用機(jī)密，正確管理機(jī)密程序都可以為您帶來(lái)很多好處：

1.粒度數(shù)據(jù)訪問(wèn)。

2.安全密碼傳輸。

3.自動(dòng)憑證滾動(dòng)。

4.微服務(wù)中的輕松機(jī)密管理。

5.用于多環(huán)境部署工件的單個(gè)存儲(chǔ)。

但是，要構(gòu)建機(jī)密管理策略，您需要做出許多選擇。這就是一切變得更加困難的地方。您需要注意的一件事是數(shù)據(jù)加密。根據(jù)經(jīng)驗(yàn)，所有關(guān)鍵數(shù)據(jù)都應(yīng)加密。但是，區(qū)分必須加密的數(shù)據(jù)類型可能具有挑戰(zhàn)性。

首先，保護(hù)對(duì)您的應(yīng)用程序或基礎(chǔ)架構(gòu)至關(guān)重要的數(shù)據(jù)。另外，不要將機(jī)密（密鑰和密碼）與標(biāo)識(shí)符（用戶名）混為一談，因?yàn)閬G失后者比丟失前者的危害要小得多。

鑒于驗(yàn)證用戶身份至關(guān)重要，請(qǐng)確保實(shí)施適當(dāng)?shù)纳矸莨芾頇C(jī)制。此外，通過(guò)定義具有不同數(shù)據(jù)訪問(wèn)級(jí)別的多個(gè)角色并將這些角色添加到您的密碼管理解決方案中，確保只有少數(shù)人可以訪問(wèn)受限制的數(shù)據(jù)。

最后，您需要應(yīng)付實(shí)施開銷。具有少量配置選項(xiàng)的基本解決方案對(duì)于小型項(xiàng)目可能就足夠了。但是，如果您打算將來(lái)擴(kuò)展項(xiàng)目，則盡早開始采用復(fù)雜的機(jī)密管理方法是明智的。這樣，在需要進(jìn)行重大改進(jìn)時(shí)，您就不必浪費(fèi)資源來(lái)重新配置整個(gè)系統(tǒng)。

請(qǐng)牢記這些挑戰(zhàn)，以改善您的密碼管理程序并確保對(duì)最有價(jià)值的數(shù)據(jù)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。