密码管理器：企业密钥管理平台实用指南

现代企业运行着数十个（有时是数百个）服务器、服务、应用程序、API、容器和其他技术。为保护这些资源，企业需要工具来管理密钥，包括密码、加密密钥、SSH密钥、API令牌、证书等。

问题在于这些资源通常分布在多个平台上，包括本地服务器、云服务、无服务器应用程序和容器编排工具，这使得很难有效管理密钥。

密钥管理的重要性

这常常导致员工使用临时且不安全的方法来管理授权，例如将密钥存储在纯文本文件中、将令牌硬编码在上传到GitHub仓库的源代码文件中，以及将加密密钥存储在未受保护的S3存储桶中。

这会导致"密钥蔓延"——登录凭证和其他凭据存储在多个位置——这种做法通常是数据泄露的促成因素之一。

密钥管理器的解决方案

避免密钥蔓延的一种方法是使用"密钥管理器"，这是一种在整个生命周期内安全存储和管理密钥的工具。密钥管理器可以存储各种密钥（密码、API令牌、证书等），并控制人员、设备和服务如何访问它们。

密钥管理器的关键特性

• 支持各种IT配置：良好的密钥管理器应同等支持云、多云、本地和混合IT系统
• 支持多种认证协议：除了密码，解决方案必须支持证书、加密密钥、API令牌和其他构成IT系统安全骨干的认证系统
• 支持多种认证组织：该技术应使您能够基于组织结构使用角色、组等调整密钥访问策略
• 支持不同类型的用户：许多IT系统不仅必须规范人类访问，还必须规范机器和服务如何访问数字资源
• 集成能力：任何产品或服务必须提供各种工具，如插件、API和CLI，以自动化密钥的存储和检索
• 集中管理：密钥管理安装应提供实时可见性和控制，了解用户、服务和设备如何在整个企业内访问密钥

主流密钥管理产品评估

HashiCorp Vault

HashiCorp Vault是管理和保护密码、令牌、加密密钥、证书、API密钥和各种其他密钥的流行企业解决方案。Vault与您的主要身份提供商集成，如Active Directory、LDAP或您选择的云平台。该技术可以管理100多个不同系统的密钥，包括公共和私有云、数据库、消息队列和SSH端点。

HashiCorp Vault的优势包括支持动态生成的密钥。该产品还提供对访问不同资源的细粒度控制，以及管理员在出现问题时立即撤销权限的功能。Vault具有强大的API，可轻松集成到应用程序中以检索密钥，这阻止了开发人员依赖硬编码密码和令牌。

然而，HashiCorp Vault的好处并非没有权衡。用户界面远非直观，学习曲线陡峭。大多数功能通过CLI界面控制，这对自动化有好处，但对手动使用来说很笨拙。

HashiCorp Vault是开源的，您可以选择自行托管。或者，您可以使用云托管的密钥管理器实例，价格为0.03美元/小时。

优点：广泛支持不同的云和本地技术栈、动态密钥生成、强大的API支持、开源

缺点：学习曲线陡峭、UI差

CyberArk Conjur

CyberArk Conjur是用于跨企业集中身份和访问管理的密钥管理解决方案。Conjur支持各种密钥类型，包括密码、服务账户令牌和API令牌。它还支持与流行云基础设施的集成，包括GCP、AWS和Azure，以及一系列数据库类型、CI/CD平台和容器编排工具。

与HashiCorp一样，Conjur支持与现有认证解决方案的集成，包括OAuth、LDAP和其他身份提供商。Conjur具有集中管理系统，管理员可以在其中定义其资源以及想要访问密钥的用户、角色、设备、脚本、服务和其他实体。他们还可以定义企业的密钥以及密码轮换和审计等规则。

应用程序管理器和开发人员使用插件和API将Conjur集成到其CI/CD、云应用程序或其他想要授予访问密钥存储的资源中。

Conjur是开源的，您可以自行托管应用程序。与HashiCorp一样，Conjur的缺点之一是初始设置和持续管理都很困难。

优点：对各种应用程序、云提供商、容器编排工具等的多功能支持；用于不同类型集成的插件和API

缺点：设置和管理复杂

企业密码管理器

虽然密钥管理器是有用的工具，但对于较小的组织或其他没有复杂数字足迹的实体来说，它们可能过于复杂。鉴于密钥管理器的技术门槛很高，没有专门IT团队的公司可能没有能力使用它们。

对于这些企业，密码管理器可能是更好的选择。密码管理器仅用于安全存储、访问和共享密码。它们缺乏密钥管理器的集成、编程和自动化功能，但可以是保护组织内凭据的优秀工具。

除了个人密码管理器的功能外，企业密码管理器还应提供以下功能：

• 集中管理：管理员应能够获取有关员工密码健康状况、使用情况、共享等的报告
• 与身份提供商集成：企业应能够使用其当前身份提供商（AD、Azure、Okta等）登录其密码管理器

1Password

1Password是流行的密码管理器，支持所有主要平台，包括macOS、Windows、Linux、Android和iOS。1Password还有一个Chrome扩展，用于在网站上自动填充登录信息并将新凭据存储在其保险库中。

1Password用户可以创建多个保险库来存储密码、信用卡信息、API令牌、加密钱包恢复种子和其他敏感文档或数据。1Password还允许您与其他用户共享密钥，并可以通过到期日期、有限视图和可以访问共享链接的特定电子邮件地址来限制密码共享。

Watchtower功能监控重复使用的密码、易受攻击的密码和可能受损的账户。商业版为管理员提供组织范围内密码安全的宏观视图。它还提供细粒度访问功能，使管理员能够大规模配置权限、组、角色和保险库访问。

以前，1Password不支持单点登录（SSO）。但它最近添加了通过Okta进行SSO登录的测试版支持，Azure和Duo即将添加。供应商还正在添加与Azure AD、Google Workspace、Okta、OneLogin和Slack的集成。

1Password Business每个用户每月7.99美元。作为奖励，每个1Password Business用户获得一个免费的Families账户，他们可以与五个家庭成员共享。

优点：灵活的密码共享、用于组织范围健康报告的管理仪表板、批量分配、免费家庭计划

缺点：SSO目前仅作为测试版预览提供

NordPass

NordPass是一项易于使用的服务，包含您期望从密码管理器中获得的基本功能，包括跨平台支持、自动填充和不同类型凭据的存储。

NordPass还有一个违规监控功能，可扫描网络以查找涉及您组织凭据的安全事件。NordPass Business提供了一个安全仪表板，使您能够获取有关密码健康状况和活动日志的公司范围报告。用户可以在团队成员之间共享密码和信用卡数据。

该技术还提供集中管理工具，包括设置公司范围的多因素认证（MFA）和密码策略的能力，以及授予或撤销员工对密码保险库的访问权限。

NordPass Business每个用户每月3.59美元。企业计划（未列出价格）支持与Okta、Azure AD和Microsoft AD的SSO，以及通过AD的用户配置。

优点：集中管理、公司范围策略、集中授予和撤销员工访问权限

缺点：基本商业计划不支持SSO