概述
secret
(常译为“机密”)是一种对象类型,通常包含敏感信息,如密码、客户端配置文件和存储库凭据等。凡是应保持私密并与容器集分离的项目,都最好作为 secret
来存储。
管理这些 secret
是保护您的环境免受数据泄露和凭据损坏的关键。
什么是机密管理?
机密管理是一种对日常运维所需的敏感信息进行保密处理的方法。它可以加强企业/机构开发和生产环境的安全性,而不会妨碍 DevOps 或安全运维工作流。
机密管理不是一个单独项目,而是要应用许多不同的安全防护选项,如验明身份的访问和跟踪、特权原则、基于角色的访问控制等等。这些选项可确保机密信息得到妥善管理,不将重要数据暴露给未经验证身份的用户。
许多自动化工具可以通过用单个认证点控制受保护的资源,对机密进行管理。其中常见的工具包括红帽® Ansible® 自动化平台及红帽® OpenShift®、CyberArk,或者 Git 和 GitLab 中提供的多个选项。
红帽资源
机密管理是如何工作的?
机密管理的工作原理是遵循某一种安全防护框架,并在 DevSecOps 生命周期的不同关键点实施各种安全防护选项。
在上方示例中,您可以看到在 DevOps 生命周期的不同阶段可以使用哪些安全解决方案。例如,可以应用软件组合分析来扫描您的代码库,查验您的集成开发环境(IDE)、构建存储库、容器镜像仓库和集群中的开源软件。此举可以防范代码库中的下游漏洞。在开发周期的关键阶段组合使用机密保管库和身份验证工具,也能减少潜在黑客或不法分子的潜在攻击窗口。
这只是一个展示机密管理和安全防护解决方案能够发挥多大作用的例子。有效的机密管理不必实施上方列出的每一项,而是可以有策略地应用不同安全防护选项,来降低特定工作负载中泄露机密的可能性。
为什么要使用机密管理?
需要注意的是,虽然 OpenShift 和 Kubernetes 在初始设置中已经对敏感信息进行了编码,但这可能不足以保证数据安全无虞。编码是将数据转换为不同的格式,此过程是可逆的。加密则不同,它也转换数据,但需要特定的密钥才能逆转或访问。这是一种更安全的数据封锁方式,可以作为机密管理策略的一部分来实施。
除了确保企业/机构数据的安全外,实施机密管理还有其他诸多好处:
- 避免机密蔓延/安全孤岛:通过集中控制机密,您可以防止企业/机构中出现仅一小群人拥有其他人不具备的特殊访问权限的情况。
- 识别不法分子:通过实施严格的验证要求,您可以轻松地阻断潜在的黑客,并阻止他们假冒认证用户的身份。
- 自动化凭据:通过自动化凭据验证和准入,您可以减少对用户进行身份验证所需的手动工作量,并让他们的工作流不受阻碍地继续推进。
您已知道了机密管理的来龙去脉,现在可以深入了解用来增强企业/机构工作流程安全性的更多选项。
红帽官方博客
获取有关我们的客户、合作伙伴和社区生态系统的最新信息。