云计算彻底改变了我们处理有价值数据的方式。以前锁定在保险箱中的东西现在存储在公用或专用服务器以及虚拟数据中心中。根据高盛(Goldman Sachs)分析师的说法,截至2020年,所有IT工作负载中约有23%在云中处理。到2023年,这一数字可能高达43%。
云服务在公司的许多项目中都发挥着重要作用。我们自己使用各种云服务,并为客户提供云开发和维护服务。在使用云技术时,确保敏感和有价值的数据安全是重中之重。
以前,我们用铁锁保护的东西现在用密码保护。我们每天都以用户凭据,密码,加密密钥,配置文件和API令牌的形式使用机密。考虑到它们的重要性,应该对安全密码进行负责任的管理。保护不善的机密可能会导致破坏性的数据泄露以及财务和声誉损失。考虑一下,最近与Facebook有关的情况,当时有近3000万用户的个人数据由于访问令牌被盗而暴露。
根据我们的经验,这里分享有关如何管理云中的密码,如何使用哪些工具以及准备应对哪些挑战等相关见解。
管理云中的密码
服务提供商(CSP)的职责范围完全取决于我们所使用的云类型。云可以是私有、混合或公共的。在公共云或混合云中,关键数据安全职责在云主机和用户之间分配。但是,最大程度地利用CSP提供的内容取决于您(用户)。而且,如果您的CSP的本机机密管理解决方案不能满足您的需求,则您有责任找到更合适的设备并完全保护您的关键数据。另外,请确保评估您使用的所有机密管理工具的配置,因为默认设置可能并不总是对您有利。
考虑到当前的任务,事先计划您的密码管理策略,然后选择最能满足您需求的解决方案。大多数CSP提供用于管理其云中机密的本机解决方案:用于Google Cloud的Secret Manager,用于Microsoft Azure的Key Vault,用于Amazon Web Services(AWS)的密钥管理服务(KMS)。虽然这些是针对特定云的本机解决方案,但其中大多数工具也可以在多云环境中使用。对于那些无法做到的,CSP通常提供兼容多云的替代方案(例如适用于AWS KMS的AWS CloudHSM)。还有一些云平台(例如HashiCorp Vault)未提供的独立解决方案,以及密码管理功能,这些功能是容器平台(如Kubernetes和Docker)的一部分。
当前,AWS提供了多种工具来管理不同类别的机密。KMS是用于处理各种机密(特别是加密密钥)的通用解决方案。反过来,参数存储和机密管理器在存储参数,机密和配置信息方面效果更好。这两个服务大致相同,但Secrets Manager可以生成随机机密并轮换机密值。您还可以通过AWS Lambda在AWS中自动执行密码轮换。
管理密码时会遇到什么挑战
无论您是在不同的云服务中,还是在特定的基于云的应用程序中使用机密,正确管理机密程序都可以为您带来很多好处:
1.粒度数据访问。
2.安全密码传输。
3.自动凭证滚动。
4.微服务中的轻松机密管理。
5.用于多环境部署工件的单个存储。
但是,要构建机密管理策略,您需要做出许多选择。这就是一切变得更加困难的地方。您需要注意的一件事是数据加密。根据经验,所有关键数据都应加密。但是,区分必须加密的数据类型可能具有挑战性。
首先,保护对您的应用程序或基础架构至关重要的数据。另外,不要将机密(密钥和密码)与标识符(用户名)混为一谈,因为丢失后者比丢失前者的危害要小得多。
鉴于验证用户身份至关重要,请确保实施适当的身份管理机制。此外,通过定义具有不同数据访问级别的多个角色并将这些角色添加到您的密码管理解决方案中,确保只有少数人可以访问受限制的数据。
最后,您需要应付实施开销。具有少量配置选项的基本解决方案对于小型项目可能就足够了。但是,如果您打算将来扩展项目,则尽早开始采用复杂的机密管理方法是明智的。这样,在需要进行重大改进时,您就不必浪费资源来重新配置整个系统。
请牢记这些挑战,以改善您的密码管理程序并确保对最有价值的数据进行适当的保护。