秘密管理是保险库的核心用例之一。如今，许多组织都有硬编码在源代码中的凭证，在配置文件和配置管理工具中随处可见，并以明文形式存储在版本控制、wiki和共享卷中。Vault提供了一个存储这些凭据的中心位置，确保它们已加密，访问被审计记录，并且仅向授权的客户端公开。实现这种集中是对安全态势的巨大改进，但这并不是旅程的终点。这是因为申请不保密！事实证明，大多数应用程序在保密方面比我们的密友做得更差。应用程序经常记录配置，将它们留在日志文件或集中的日志系统中。通常情况下，机密将在发送到外部监控系统的异常回溯或崩溃报告中捕获，或者在遇到错误后通过调试端点和诊断页面泄漏。应用程序泄漏机密的方式有很多种，但关键是应用程序不应被视为完全安全的。集中化之后的第二个挑战是，服务通常共享相同的凭证。这是应用程序的标准做法，但如果建议所有人类用户共享相同的登录凭据，大多数安全组织都会遇到恐慌性攻击。如果这些凭证泄露，那么确定泄露或泄露的来源是非常困难的。更新或轮换凭证会产生协调问题，因为凭证的使用者很多。撤销凭证有很大的爆炸半径，有可能一次将多个服务层取下。»动态秘密Vault以"动态机密"的形式给出了这些问题的答案。动态机密是根据需要生成的，对客户端是唯一的，而不是预先定义并共享的静态机密。Vault将每个动态机密与租约关联，并在租约过期时自动销毁凭据。这是一个在高层次上如何工作的概述：在本例中，客户机正在请求数据库凭据。Vault使用专用根级凭据连接到数据库，并创建新的用户名和密码。这组新的凭据将以7天的租约提供给客户端。一周后，Vault将使用其特权凭据连接到数据库，并删除新创建的用户名。Vault支持多种系统的动态机密，并可通过插件轻松扩展：数据库（PostgreSQL、MySQL、MSSQL、Oracle等）NoSQL（Cassandra、MongoDB等）消息队列（RabbitMQ等）云提供商宋承宪公钥基础设施等。SSH通常会因为只有一个广泛共享的密钥来保护大量的机器而受到影响。Vault应用动态机密方法并根据需要生成唯一的客户端凭据。Vault既可以生成一次性密码（OTP）、动态RSA密钥，也可以充当签名机构并使用公钥方法。使用动态机密意味着当开发人员或操作员离开组织时，我们不必担心他们是否拥有共享的PEM。如果这些凭据泄漏，它还为我们提供了一个更好的打破玻璃的过程，因为凭据被本地化为单个资源，从而减少了攻击向量，并且凭证还具有生存时间，这意味着Vault将在预定的持续时间后自动吊销它们。除此之外，通过利用Vault Auth和动态机密，您还可以获得完整的访问日志，直接将SSH会话绑定到单个用户。生成证书通常非常耗时和复杂，因此建议使用寿命很长的证书来避免开销。这意味着有效期为数年的证书是以明文形式浮动的，并且没有任何实现撤销的实用方法。这会带来很大的安全风险，因为证书的泄露可能会授予长期访问权限，而不会有简单的缓解措施。Vault应用动态秘密方法并充当签名中介来生成短期证书。一些保管库用户的证书有效期不到一小时！动态机密允许我们管理意图（例如，web服务器需要数据库访问），而不是管理凭据。这使我们能够在解决重大挑战的同时实现同样的最终目标：应用程序泄漏。动态机密通过确保凭据是短暂的，从而将泄漏应用程序的影响降至最低。这降低了凭据被记录到磁盘或以其他方式暴露的风险，因为它们将自动旋转。不可抵赖性。每个客户机的唯一凭证使取证和了解妥协的来源更加容易。通过避免共享凭证，我们消除了访问的模糊性。自动旋转。通过将租约附加到机密并强制执行最长生存时间，机密将自动轮换。这改善了我们的安全态势，同时使我们更容易遵守需要轮换的安全标准。实际撤销。动态秘密的租赁机制意味着保险库知道每个客户拥有哪些秘密。这使得在妥协的情况下可以撤销特定的租约。唯一凭据限制吊销的爆炸半径，防止完全服务中断。»实践中的动态秘密许多应用程序在启动时一次性读取其配置，通常是从配置文件或环境变量中读取。这就提出了一个问题，即如何实际使用动态机密，而无需重新调整工具与Vault进行本机集成。答案在于现有的配置文件或环境变量！而不是静态地定义它们，它们可以填充一个动态秘密，以便应用程序看不到它。在上面的示例中，conver template使用一个模板来确定需要从Vault获取哪些机密。获取机密时，将动态创建凭据并写出配置文件。然后由consur模板启动应用程序，并像正常一样读取其配置。理想情况下，配置文件将被写入ramdisk以避免持久性磁盘。当动态机密的租约到期时，consur模板将重新呈现配置文件，并重新加载或重新启动应用程序。同样的技术也可以用于从环境变量读取的应用程序，但是应该使用envconsur工具。一旦应用程序启动，就无法更改环境变量，因此当租约到期时，必须重新启动进程以获取新凭据。»结论许多组织都受到秘密蔓延的困扰，证书散布在许多不同的系统中，通常是明文形式，访问控制或审计能力有限。Vault提供了一种解决方案，它集中了机密及其周围的授权。虽然这种集中化大大提高了安全性，但动态秘密使我们能够走得更远。动态生成唯一的客户端凭据允许我们为攻击者创建一个移动目标，并将暴露凭据的风险降到最低，同时使取证、定期轮换或吊销变得更容易。要了解更多信息，请访问：Vault数据库后端金库和执政官模板Vault PKI后端保险存储SSH后端