应对密钥蔓延:四部分框架
与传统凭据不同,密钥由开发人员及其代码使用,用于访问应用程序、服务、基础设施,并由平台用于建立可信身份。它们可以包括用户名和密码、API令牌、TLS证书、密钥等。然而,随着组织将工作负载分布到更多平台上,他们可能会失去集中控制,最终导致密钥蔓延。
本文提供了一个四部分框架,以解决现代密钥管理挑战。
» 密钥控制的四部分框架
控制密钥蔓延需要在四个维度上采取全面方法:
- 集中化密钥管理平台 - 所有密钥的单一可信来源
- 跨平台同步 - 打破有害孤岛的统一管理
- 密钥扫描 - 检测泄露的密钥,并了解密钥在基础设施中的存在位置(受管理和未受管理的)
- 访问控制和加密 - 限制谁可以访问什么,并保护静态密钥
» 1. 采用集中化密钥管理平台
将组织的密钥隔离弊大于利。创建的每个额外密钥副本都会为密钥泄露和后续攻击打开另一个窗口。解决密钥蔓延的关键起点是采用一个集中化系统,用于存储、组织、管理和最终保护所有密钥。如果不通过一个控制平面集中管理,就无法围绕组织对密钥的访问建立坚实的治理、审计和安全性。没有集中化控制平面,您无法轻松扩展安全实践,因此您将不断在组织的不同角落重新发明安全轮子。这种碎片化还可能带来显著成本,包括增加重大安全漏洞的威胁。
解决密钥蔓延的第一步是采用一个集中化系统来存储、组织、管理和最终保护所有密钥。HashiCorp Vault 将密钥管理作为一个工具类别带入主流,并多年来拥有行业最广泛的采用。Vault 是一个基于身份的密钥和加密管理系统,提供由身份验证和授权方法控制的加密服务,以确保安全、可审计和受限的密钥访问。它用于通过 UI、CLI 或 API 保护、存储、生成、轮换和保护密钥及其他敏感数据。
» 2. 通过同步集成集中化密钥
一些组织在不同的云服务提供商(AWS Secrets Manager、Microsoft Azure Key Vault、Google Cloud Secret Manager、GitHub 等)的多个解决方案中存储密钥。虽然这可能满足将所有密钥纳入管理的要求,但当安全和站点可靠性工程(SRE)团队必须学习并使用多个解决方案(每个都有其独特之处)以执行安全审查、实施组织范围策略、执行事件响应任务或进行公司审计时,仍然存在一定程度的密钥蔓延。
解决方案是拥有一个中央的、云无关的密钥管理平台,可以同步在多个特定于云的密钥管理器中生成的密钥,并将其自己的密钥推送到这些解决方案。Vault 的密钥同步功能允许用户在需要时和需要地同步密钥,持续将密钥从 Vault 同步到外部密钥管理器,以便它们始终保持最新。
通过密钥同步,Vault 能够:
- 提供完整的可见性,以满足组织的合规性和治理要求。
- 使用 Vault 的 UI、CLI 或 API 轻松管理、配置、轮换和撤销外部密钥管理器的密钥。
- 提供细粒度的访问控制和策略,以确定谁可以访问组织中所有密钥管理器中的哪些密钥。
Vault 支持与常见密钥存储位置的密钥同步,包括:
- AWS Secrets Manager
- Microsoft Azure Key Vault
- Google Cloud Secret Manager
- GitHub
- Vercel
Vault 提供多个平台和托管选项,允许组织利用密钥同步,包括 HCP Vault 和 Vault Enterprise。通过采用这些 Vault 产品之一,组织可以解决由密钥管理工具碎片化带来的挑战,并消除在多个密钥管理平台之间切换上下文的需要。
» 3. 通过扫描查找密钥
任何密钥集中化计划的关键部分是能够在可能非常庞大的 IT 资产和复杂的软件供应链中定位 API 密钥、数据库凭据、安全证书、密码或公开可识别信息(PII)。这就是密钥扫描工具的用武之地。
HCP Vault Radar 自动化初始扫描以及持续检测和识别未受管理的密钥,以便可以撤销或将它们迁移到 Vault 中。HCP Vault Radar 使用 300 多种扫描算法扫描多个数据源,包括:
- Git 提供商
- AWS Parameter Store
- Confluence
- Jira
- Amazon S3
- Terraform
- 本地文件夹
HCP Vault Radar 还与 Vault Enterprise 集成,以扫描支持的数据源,查找当前在 Vault 中正在使用的泄露密钥。使用扫描中的额外元数据,Radar 将为其发现的密钥分配风险评级,以确定哪些密钥可能需要立即关注。这些功能共同为组织提供了更完整的密钥视图,允许团队查找和管理所有密钥并管理风险。
观看以下视频以了解更多关于 HCP Vault Radar 的信息:
[视频:HCP Vault Radar 介绍]
» 4. 限制对密钥的访问
另一个缓解密钥蔓延的重要方法是限制对可用密钥的访问。有两种常见策略用于限制密钥的访问和可用性以控制蔓延。
» 加密
一个有效的密钥管理平台应为其密钥存储提供加密。加密以这样的方式保护您的数据,以至于对没有解密密钥的任何人来说都是无用的。如果加密的密钥被威胁行为者获取,它不能被用于访问系统、API 或基础设施。
Vault 为对 API 和数据层发出的所有请求提供安全屏障。安全屏障使用 256 位高级加密标准(AES)密码在伽罗瓦计数器模式(GCM)下自动加密所有离开 Vault 的数据,并使用 96 位随机数。每个加密对象都会随机生成随机数。当从安全屏障读取数据时,在解密过程中验证 GCM 认证标签以检测任何篡改。
» 最小权限访问
为了维护敏感数据的隐私,您必须通过有效的控制来控制对它的访问。使用细粒度控制授予用户对密钥的访问权限,并且不要授予用户不需要的密钥访问权限。临时使用的临时访问也应该是标准程序。确保您的组织严格限制无限制访问或根用户。即使在与开发人员合作时,也要限制他们对正在工作的区域的访问,以便他们不会自由通行所有密钥或无意中泄露它们。
» 开始使用
Vault 提供多个平台和托管选项,以帮助您的组织解决密钥蔓延问题。
- HCP Vault Dedicated:HCP Vault Dedicated 是一个基于 SaaS 的解决方案,适用于多种用例,包括密钥管理/集中化、身份代理、跨其他密钥管理器工具的密钥同步、PKI 证书管理和加密。
- Vault Enterprise:Vault Enterprise 是一个自管理平台,具有 HCP Vault Dedicated 的大部分功能,但为更严格的监管环境自管理。
- HCP Vault Radar:HCP Vault Radar 自动化初始扫描以及持续检测和识别未受管理的密钥,以便可以撤销或将它们迁移到 Vault 中。当与 Vault 集成时,它还提供修复能力。
解决密钥蔓延需要一个涵盖人员、流程和技术的全面方法。HashiCorp Vault 可以是该方法中有价值的技术,但为了最佳结果,它应集成到更广泛的合规策略中,包括培训、定期审计以及对系统和流程的持续监控。
要开始使用 HashiCorp Vault,请访问 Vault 产品页面。如果您想讨论您的密钥管理之旅,请联系我们。