以下是Flux7首席执行官Aater Suleman的博客文章。Flux7是HashiCorp的主要系统集成合作伙伴之一，已经成功地帮助部署了几十个使用HashiCorp堆栈的客户环境。作为HashiCorp咨询合作伙伴，Flux7帮助企业在现有基础设施上或作为新基础设施解决方案的一部分，建立一个可重复部署Vault的框架。两年前，我们开始与HashiCorp Vault合作，以应对首席信息安全官（ciso）不断增加的要求，他们希望确保公司的云迁移或绿地部署符合组织的风险、安全和合规目标。迁移到云技术的组织希望在迁移之前确保安全控制和策略到位。不管他们是否认识到，组织都在寻找机密管理、加密即服务和特权访问管理（PAM）。除了继续围绕云迁移策略展开讨论外，我们还开始关注随着组织采用微服务而出现的证书和机密的激增。组织在实施微服务时经常面临的一个挑战是机密的扩散。随着微服务数量的增长，所需的凭据、证书和登录的数量也在增长。这种指数级的增长推动了对跨组织多个级别的有效和高效的秘密管理的需求。»解决方案在听到无数客户表达的同样的担忧和要求后，我们立即认识到HashiCorp Vault提供的价值：对任何机密、基础结构和应用程序进行集中管理和策略实施加密即服务，能够加密任何静态机密安全控制严密的动态机密跟踪机密使用情况的详细审核日志»小型案例研究我们最近有幸与医疗保健行业的一位客户合作，该客户不仅要遵守HIPAA标准要求，而且还要有严格的内部指导原则来保护患者的个人健康信息（PHI）的安全。该组织为其基于云的解决方案和管理其众多凭证寻求一流的安全性。这些凭证种类不同，包括数据库密码、SSH密钥和第三方API令牌，这些令牌对于运行其核心应用程序至关重要。考虑到他们有许多团队在处理独立的微服务，还需要存储服务之间通信所需的证书。虽然有几十个DBs和几十个API令牌，但客户特别希望消除登录到他们管理的数百个生产服务器所需的持久SSH私钥。我们建议使用HashiCorp Vault和LDAP身份验证和SSH后端作为客户同意的解决方案。下面我们提供一些实现细节。他们的应用程序部署是一个标准的基于容器的微服务解决方案，它使用registor来检测新的Docker容器并向consur注册它们。它们使用NGINX作为API网关和同一服务的容器之间的负载平衡器。NGINX配置文件由consur模板动态生成和更新，该模板从consur获取实时配置数据。所有微服务都可以通过NGINX进入。我们决定使用同一个集群部署Vault以保持一致性。由于Vault没有自己的状态，所以它对容器友好，并且可以像另一个微服务一样轻松地进行部署。唯一的区别是NGINX对Vault的访问配置不同，以阻止任何外部流量访问保险库。使用ECS和Docker容器运行这个组织的系统意味着可以快速轻松地重新创建它。例如，如果某个节点要崩溃，则在毫秒内重新创建一个替换节点。此外，使用Docker还意味着保险库系统从一开始就是安全的；不必担心来自损坏源的漏洞。而且，Docker容器是不可变的。总之，这些实际的概念意味着秘密管理是以一种安全的方式创建和容纳的，并且可以在需要时以相同的方式轻松地重新创建。HashiCorp Vault通过以下方式实现了医疗保健提供商的主要目标：动态和静态机密管理。对于这家公司的密码和第三方API密钥，Vault会动态创建机密，并根据需要自动生成它们。此外，Vault动态创建在给定时间段内过期的机密，以满足其特定的HIPAA和安全要求。保险库SSH Secret后端。这家公司使用保险库SSH Secret后端来保护其AWS和SSH凭据，后者动态地为公司的远程主机生成SSH凭据。这就不再需要与所有需要访问基础设施的用户共享私钥，从而进一步加强了公司的安全策略。审计。通过将Vault与Splunk（该公司的日志管理系统）集成，安全团队现在可以全面了解凭证的出处，包括谁使用了机密、何时使用以及在哪些系统上使用。Vault使该组织能够在安全性和灵活性之间建立有效的平衡。这种平衡导致安全和开发团队的日常管理减少，使他们能够将更多的时间用于战略计划和最终有意义的业务效益。访问Vault页面了解更多信息。