当组织采用一个或多个公共云时，他们面临的挑战是安全地提供对机密材料的访问，例如用户名和密码、API令牌、加密密钥和TLS证书。这个问题被称为秘密管理，有几个主要挑战：鉴定或断言身份。最近的许多攻击表明，基于周边的安全措施在阻止现代威胁方面是不够的。因此，私有网络需要运行零信任策略。客户端必须提供允许验证其身份和验证其访问的凭据。授权。一旦客户身份被验证，并不意味着他们应该有权获得所有机密材料。相反，访问应该基于需要知道的基础上（也称为默认拒绝），最大限度地减少妥协的爆炸半径。这意味着我们需要管理授权，或者"谁可以访问什么"。审核访问权限。一旦我们核实了客户并授权他们访问机密材料，我们希望保持一个审计跟踪，以便在妥协后或为了日常审计目的进行取证。审计跟踪为我们提供了不可抵赖性，或者一个强有力的保证，即某个特定的客户确实访问了某些东西。支持多种环境、客户机和系统。最后一个挑战是在不同的环境（VMware、AWS、Azure、GCP等）、客户端（开发人员、操作员、应用程序、Shell脚本等）和系统（MySQL、Cassandra、RabbitMQ、MongoDB等）之间以一致的方式执行上述操作。组合爆炸使得构建自定义解决方案变得不切实际。»使用保险库代理访问创建Vault的目的是解决机密管理难题，同时代理访问多种多样且不断增长的环境、客户端和系统。Vault提供了一致的API、用户和组管理、授权策略和插件体系结构。插件架构允许轻松扩展Vault，以解决多个不同类别的代理难题：身份验证插件。身份验证插件解决了断言客户端身份的第一个挑战。Vault与LDAP/activedirectory、idp（如Okta和Centrify）、云（如AWS和GCP）、配置管理工具以及Kubernetes等平台进行了本机集成。这允许人工操作员以交互方式和编程方式验证应用程序。秘密插件。秘密插件解决了与许多不同系统集成的挑战，如数据库（MySQL、PostgreSQL、MSSQL、Oracle等）、消息队列、云服务提供商等。通过几行代码，Vault可以为每个客户端生成唯一的凭据，以避免共享机密并降低攻击向量。审核插件。许多组织都有集中式日志记录或审核日志记录的现有解决方案，因此Vault允许集成自定义审核后端。Vault与基于文件、基于套接字和syslog进行了本机集成，以进行审核。»跨越云层边界许多云提供商通常通过元数据API向正在运行的实例公开API令牌。这使得应用程序可以轻松地向云服务（如blob存储）发出请求，而无需显式地管理令牌。这对于在单个云中运行的单租户vm来说非常方便，但是对于多租户或多云架构来说，这是不够的。假设一个同时运行在AWS和GCP中的应用程序需要访问aws3和GCP云存储。每个应用程序实例只能在一个地方运行，这意味着它只有一个云的令牌。Vault通过允许云既是身份验证又是机密插件来解决这个问题。假设一个应用程序正在AWS中运行，并且需要GCP API令牌，下面是它的工作方式：在这里，我们可以看到Vault如何帮助代理访问云中的数据，也可以跨云进行访问。这可以简化构建多云应用程序。Adobe的Chandler Allphin在2017年HashiConf大会上发表了一篇演讲，谈到他们使用Vault来解决这个问题。»结论随着每一个新的公共安全漏洞，组织对改善其安全态势越来越感兴趣。假设你的网络已经或将要被破坏，迫使一种新的方法来管理秘密，其中的访问是仔细把关和审计。Vault提供了一种高度灵活的解决方案，可以支持现有的各种环境、客户端和系统。了解有关Vault的详细信息：https://www.vaultproject.io