我正在调查vault以保护各种Web应用程序使用的数据库凭据。我查看了几个Youtube视频,幻灯片分享甚至下载了Vault进行试验。我无法完全绕过它.Vault如何保护凭证,例如使用令牌向Vault进行身份验证的Web应用程序?我假设Apache进程必须拥有保险库令牌(用户令牌,而不是根令牌),因此它可以访问其运行的应用程序的机密。这似乎暴露了Apache进程在应用程序泄露时可以访问的任何秘密。我不会在这里看到一场大胜,所以我一定会失去很多。
答案 0 :(得分:1)
简而言之,Vault支持身份验证后端,然后允许您生成令牌。标记应该被视为临时访问,并且与密钥不同。
特别是,Vault支持使用许多不同系统进行身份验证,以根据需要生成动态机密和凭据。这是有充分记录的here
在安全性方面,我们的想法是将authentication backend作为主要内容,然后生成令牌。你说硬编码令牌是一种安全风险是正确的。一旦生成,它们应具有严格的权限和短TTL。 Vault可以轻松实现,因为您可以使用ACL定义令牌的范围。