一千萬個為什麽

搜索

您如何知道生產服務的哪些秘密和憑據被使用,以及由誰/什麽?



問題的背景是秘密管理

正如標題所說,您如何知道您的生產服務使用了哪些秘密和憑據,以及由誰/什麽使用?

轉載註明原文: 您如何知道生產服務的哪些秘密和憑據被使用,以及由誰/什麽?

一共有 1 個回答:

簡短的回答:您需要使用提供“審計日誌”的秘密管理系統。

有很多處理機密的選項,但除非你使用的工具有審計日誌記錄,否則你永遠不會真正知道在哪裏使用了哪些憑據。

我看到你提到使用Hashicorp的Vault。這是一個非常好的。他們內置了審計日誌記錄;他們稱之為'審核設備',可通過簡單的命令啟用。

同樣,處理秘密有許多完全有效的選項:Chef vault,1password,構建實例註入的環境變量,使用存儲在對象存儲上的加密文件的自行開發的解決方案等等。除非系統明確說它提供審計日誌記錄,否則你永遠不會真正知道在何時何地使用了什麽。

您可以設計一個具有最佳意圖的秘密系統,並制定員工必須遵循的許多規則以獲取秘密,但出於審計目的,您想知道 規則的位置破碎。如果您確實要求始終知道何時何地使用秘密,我建議您堅持使用Hashicorp Vault之類的東西,啟用審計設備,然後將日誌發送到某處進行存儲或處理。