HashiCorp consur1.8的发布引入了两个新的企业特性：单点登录（SSO）和审计日志记录。虽然这些特性可能不会直接影响consur的基本功能，但对于具有法规遵从性要求或严格的组织策略的企业来说，它们通常是至关重要的。采用新工具的企业的一些核心考虑因素包括：如何控制在给定的环境中可以执行哪些操作如何控制谁可以访问这些环境如何检查行为并在事后访问它们在本博客中，我们将讨论这些注意事项，并讨论两个新特性，它们与名称空间的现有企业特性相结合，使这些类型的企业能够以规模和兼容的方式运行conver。»名称空间在深入研究新特性之前，回顾一下名称空间是很重要的。名称空间可以通过最小化这些其他特性需要监视和管理的表面积来增强审计日志和单点登录。虽然这些其他特性本身就很好，但是名称空间提供了一种更细粒度的实现方式，这对于拥有大型consur部署的组织来说非常有益。名称空间是在conver1.7中引入的。该功能提供了一种在组级别对服务进行逻辑分段、启用广泛策略以及通过向全局管理员提供将这些服务的管理委托给其他操作员的能力来实现自助服务的方法。服务可以被分组到一个名称空间中，而不管它们是位于不同的数据中心、区域还是云中，只要consur可以访问它们。命名空间利用consur的访问控制列表（ACL）系统来实施策略并控制对命名空间内服务的访问。例如，操作员可以选择为需要使用consur来发现某些服务，但无权注册新服务或更改现有服务的特定用户子集实现只读ACL策略。实施这样的规则的一种方法是在令牌级别为与特定数据中心中的服务交互的任何人应用策略。这样做的挑战在于，当注册或注销新服务时，它会给运营商带来额外的开销。操作员必须在他们需要写访问权限的时间范围内更新ACL策略，然后在完成时记住将策略改回read。另外，如果运营商不想让这组用户看到所有可用的服务呢？可以使用唯一的名称或标记来区分服务。但是，这会带来额外的操作开销和错误配置的风险。另一种方法是为服务的子集分配一个特定的角色，并将用户分配给他们自己的命名空间。这样做将在命名空间中强制执行策略，并适用于任何新的或现有的服务。名称空间允许操作团队控制对这些环境的访问，提供一个适当的系统以供检查，并允许团队消除在系统的其他用户之间协调资源名称的要求。»单一登录我们在上面说明的场景需要在管理对服务的访问时考虑一个关键因素：用户。为了获得对命名空间的访问权，consur只要求用户提供有效的ACL令牌，而不管是谁提交的。在理想的情况下，运营商将有一个系统来管理ACL令牌的生命周期，包括以周期性的间隔旋转它们，但实际上这是一个繁重的负担，不是一个可扩展的解决方案。命名空间可以包含具有不同ACL策略的多组服务。但是，跨多个策略和角色跟踪令牌使用情况可能会很快变得很麻烦。更好的方法是利用现有的可信身份源，在用户能够与代理进行交互之前验证用户是否有权访问consur。这就是单点登录帮助解决的问题。在consur enterprise1.8中，consur管理员可以要求用户通过OpenID Connect（OIDC）提供者（如Okta、Ping或Auth0）进行身份验证，然后才能在consur内部进行任何更改。与其他SSO工作流类似，当用户尝试通过CLI或UI登录到CONSUR时，他们将被定向到基于浏览器的IdP以验证其凭据。身份验证后，IdP将通知consur有效权限，用户可以正常进行。将SSO与名称空间配对是确保只有特定用户具有访问权限并相应映射其权限的一种方法。在上面列出的情况下，即使ACL令牌已被破坏，Consult 1.8允许用户为SSO身份验证创建的令牌配置生存时间（TTL）。此外，如果攻击者以某种方式能够通过身份验证，则他们只能在允许其模拟的用户进入的范围内，这可能会进入受上述策略限制的命名空间中。»审核日志在讨论了添加限制以防止不必要的访问或操作之后，我们将在本博客中讨论的最后一部分是检查。consur enterprise1.8将审计日志添加到consur中，使其成为大型企业的理想选择，因为法规或组织法规遵从性原因，这些企业需要保存网络操作的记录。审计日志记录只是捕获Consul处理的事件，并将它们编译成JSON格式，以便于导出。使用这些日志，审计团队可以检查事件数据，以了解使用了哪些凭据、采取了哪些操作以及与所有这些事务关联的日期。这为可能关心自动化服务网络任务的安全团队提供了更大的监督和责任。»结论consur enterprise1.8的特性为企业提供了一种更好的方法，使它们能够在遵守组织策略的同时，转向更新的、基于服务的网络方法。这些功能利用了在业务的其他方面使用的常见工作流，如HashiCorp Vault和Terraform。与这些产品一样，我们将这些特性添加到conver中，以帮助企业应对随着企业开始跨多个环境扩展其应用程序部署而出现的协作和治理挑战。要了解更多关于这些功能或领事，请访问我们的产品页面或要求演示。