密码管理器：企业级秘密平台实用指南

现代企业的秘密管理挑战

现代企业运行着数十（有时甚至数百台）服务器、服务、应用程序、API、容器和其他技术。为保护这些资源，企业需要工具来管理秘密，包括密码、加密密钥、SSH（安全外壳）密钥、API令牌、证书等。

问题在于，这些资源通常分布在许多平台上，包括本地（on-prem）服务器、基于云的服务、无服务器应用程序和容器编排工具，这使得以高效方式管理秘密变得非常困难。

秘密蔓延的风险

这常常导致员工使用临时和不安全的方法来管理授权，例如将秘密存储在纯文本文件中、将令牌硬编码在源代码文件中上传到GitHub存储库，以及将加密密钥存储在未受保护的S3存储桶中。

这导致了“秘密蔓延”——登录凭据和其他凭证存储在多个地方——这种做法通常是数据泄露的促成因素。

秘密管理器的关键功能

避免秘密蔓延的一种方法是使用“秘密管理器”，这是一种在整个生命周期内安全存储和管理秘密的工具。秘密管理器可以存储各种秘密（密码、API令牌、证书等），并控制人类、设备和服务如何访问它们。

秘密管理器应具备以下关键功能：

• 支持各种IT配置：良好的秘密管理器应平等支持云、多云、本地和混合IT系统。
• 支持多种认证协议：除了密码，解决方案必须支持证书、加密密钥、API令牌和其他构成IT系统安全骨干的认证系统。
• 支持各种认证组织：该技术应使您能够根据组织结构使用角色、组等调整秘密访问策略。
• 支持不同类型的用户：许多IT系统不仅必须规范人类访问，还必须规范机器和服务如何访问数字资源。
• 集成：任何产品或服务必须提供各种工具，如插件、API和CLI，以自动化秘密的存储和检索。
• 集中管理：秘密管理安装应提供实时可见性和控制，以了解用户、服务和设备如何在整个企业内访问秘密。

流行秘密管理产品评估

HashiCorp Vault

HashiCorp Vault是一种流行的企业解决方案，用于管理和保护密码、令牌、加密密钥、证书、API密钥和各种其他秘密。Vault与您的主要身份提供者集成，如Active Directory、LDAP或您选择的云平台。该技术可以管理100多个不同系统的秘密，包括公共和私有云、数据库、消息队列和SSH端点。

HashiCorp Vault的优势包括支持动态生成的秘密。该产品还提供对访问不同资源的精细控制，并为管理员提供在出现问题时立即撤销权限的功能。Vault具有强大的API，可轻松集成到应用程序中以检索秘密，这 discourages 开发人员依赖硬编码密码和令牌。

然而，HashiCorp Vault的好处并非没有权衡。用户界面远非直观，学习曲线陡峭。大多数功能通过CLI界面控制，这对自动化有好处，但对手动使用来说很 awkward。

HashiCorp Vault是开源的，您可以选择自行托管。或者，您可以使用云托管的秘密管理器实例，价格为$0.03/小时。

优点：广泛支持不同的云和本地技术栈、动态秘密生成、强大的API支持、开源
缺点：学习曲线陡峭、UI差

CyberArk Conjur

CyberArk Conjur是一种秘密管理解决方案，用于整个企业的集中身份和访问管理。Conjur支持各种秘密类型，包括密码、服务帐户令牌和API令牌。它还支持与流行云基础设施的集成，包括GCP（Google云平台）、AWS和Azure，以及一系列数据库类型、CI/CD平台和容器编排工具。

与HashiCorp一样，Conjur支持与现有认证解决方案的集成，包括OAuth、LDAP和其他身份提供者。Conjur有一个集中管理系统，管理员可以在其中定义其资源以及想要访问秘密的用户、角色、设备、脚本、服务和其他实体。他们还可以定义企业的秘密以及密码轮换和审计等规则。

应用程序管理器和开发人员使用插件和API将Conjur集成到他们的CI/CD、云应用程序或其他想要授予访问秘密存储的资源中。

Conjur是开源的，您可以自行托管应用程序。与HashiCorp一样，Conjur的缺点之一是初始设置和持续管理的难度。

优点：对各种应用程序、云提供商、容器编排工具等的多功能支持；用于不同类型集成的插件和API
缺点：复杂的设置和管理

企业密码管理器

虽然秘密管理器是有用的工具，但对于较小的组织或其他没有复杂数字足迹的实体来说，它们可能过于复杂。鉴于秘密管理器的高技术入门门槛，没有专门IT团队的公司可能无法使用它们。

对于这些企业，密码管理器可能是更好的选择。密码管理器仅用于安全存储、访问和共享密码。它们缺乏秘密管理器的集成、编程和自动化功能，但可以是保护组织内凭据的优秀工具。

除了个人密码管理器的功能外，企业密码管理器还应提供以下功能：

• 集中管理：管理员应能够获取有关员工密码健康状况、使用情况、共享等的报告。
• 与身份提供者集成：企业应能够使用其当前身份提供者（AD、Azure、Okta等）登录其密码管理器。

1Password

1Password是一种流行的密码管理器，支持所有主要平台，包括macOS、Windows、Linux、Android和iOS。1Password还有一个Chrome扩展，用于在网站上自动填充登录信息并将新凭据存储在其保险库中。

1Password用户可以创建多个保险库来存储密码、信用卡信息、API令牌、加密钱包恢复种子和其他敏感文档或数据。1Password还允许您与其他用户共享秘密，并可以通过过期日期、有限视图和可以访问共享链接的特定电子邮件地址来限制密码共享。

Watchtower功能监控重复使用的密码、易受攻击的密码和可能受损的帐户。商业版为管理员提供组织范围内密码安全的放大视图。它还提供精细访问功能，使管理员能够大规模配置权限、组、角色和保险库访问。

以前，1Password不支持单点登录（SSO）。但它最近添加了通过Okta进行SSO登录的测试版支持，Azure和Duo即将添加。供应商还正在添加与Azure AD、Google Workspace、Okta、OneLogin和Slack的集成。

1Password Business费用为每位用户每月$7.99。作为奖励，每个1Password Business用户获得一个免费的Families帐户，他们可以与五个家庭成员共享。

优点：灵活的密码共享、用于组织范围健康报告的管理仪表板、大规模分配、奖励家庭计划
缺点：SSO目前仅作为测试版预览提供

NordPass

NordPass是一种易于使用的服务，包括您期望从密码管理器获得的基本功能，包括跨平台支持、自动填充和不同类型凭据的存储。

NordPass还有一个违规监控功能，可以扫描网络以查找涉及您组织凭据的安全事件。NordPass Business提供一个安全仪表板，使您能够获取公司范围的密码健康状况和活动日志报告。用户可以在团队成员之间共享密码和信用卡数据。

该技术还提供集中管理工具，包括设置公司范围的多因素认证（MFA）和密码策略的能力，以及授予或撤销员工对密码保险库的访问权限。

NordPass Business费用为每位用户每月$3.59。企业计划（未列出价格）支持与Okta、Azure AD和Microsoft AD的SSO，以及通过AD（Active Directory）进行用户配置。

优点：集中管理、公司范围策略、集中授予和撤销员工访问权限
缺点：基本商业计划不支持SSO