【51CTO.com快譯】秘密管理是容器安全的重要組成部分。我們在本文中介紹管理秘密(即密碼、API密鑰和令牌等)的幾個(gè)優(yōu)秀實(shí)踐，以便緩解容器安全風(fēng)險(xiǎn)和漏洞。

[[263604]]

1. 區(qū)別秘密和標(biāo)識(shí)符

在容器環(huán)境下，秘密是指一旦暴露在未經(jīng)授權(quán)的個(gè)人或?qū)嶓w面前，貴公司、客戶或應(yīng)用程序?qū)⒚媾R風(fēng)險(xiǎn)的任何信息。隨著系統(tǒng)變得更復(fù)雜，涉及的秘密信息量隨之增加，涉及的風(fēng)險(xiǎn)也隨之加大。系統(tǒng)中的不定因素越多，面臨的風(fēng)險(xiǎn)就越大。

值得一提的是，并非所有信息都是秘密信息。一些信息(比如用戶名和TLS證書)是標(biāo)識(shí)符，需要有選擇地加以共享。標(biāo)識(shí)符并非完全沒有風(fēng)險(xiǎn)，但其風(fēng)險(xiǎn)遠(yuǎn)低于秘密。然而，與標(biāo)識(shí)符有關(guān)的密碼和密鑰應(yīng)被視為秘密。

2. 建立信任圈

系統(tǒng)的某些部分可以完全信任(比如CPU、RAM、root用戶或擁有適當(dāng)安全策略的秘密管理工具)。系統(tǒng)的一些部分只能選擇性地信任(比如被授予明確權(quán)限，以訪問受保護(hù)的某些秘密或S3等云服務(wù)的員工)。外部實(shí)體默認(rèn)情況下不可信任。它們包括隨機(jī)用戶或WiFi熱點(diǎn)。透露給這些實(shí)體的秘密會(huì)泄密，因此導(dǎo)致風(fēng)險(xiǎn)。

3. 深入了解信任鏈

秘密流經(jīng)系統(tǒng)時(shí)，它們觸及這些不同的實(shí)體。秘密所走的路徑是決定秘密是安全還是已泄密的關(guān)鍵。每一步都是“一環(huán)”，全部環(huán)連起來就組成了“一條鏈”。全面深入了解整條鏈很重要。這樣一來，你就可以建立信任鏈，確保只有信任圈內(nèi)的實(shí)體才能訪問秘密。

4. 使用KMS加密數(shù)據(jù)

對(duì)機(jī)密數(shù)據(jù)而言，光使用防火墻不夠安全;受密碼保護(hù)的數(shù)據(jù)庫也不夠安全。它們離完全泄密只有一步之遙。相反，需要的是可以在多個(gè)層面加密數(shù)據(jù)的密鑰管理服務(wù)(KMS)。你應(yīng)該能夠使用加密密鑰加密整個(gè)文件，并使用不同的加密密鑰加密該文件中的部分?jǐn)?shù)據(jù)。

這樣一來，你只能共享數(shù)據(jù)的特定部分，而不必讓其余數(shù)據(jù)面臨風(fēng)險(xiǎn)。這限制了潛在威脅影響范圍。然而，在本地環(huán)境創(chuàng)建和管理加密密鑰很繁瑣。如果使用云原生容器應(yīng)用程序，有必要使用基于云的加密服務(wù)，比如AWS KMS或類似的替代方案。它們擁有高級(jí)功能，可以自動(dòng)化并極大地控制加密密鑰的創(chuàng)建和管理。

5. 經(jīng)常輪換秘密

長期保持不變的秘密更有可能泄密。隨著更多的用戶訪問秘密，某人有可能處理不當(dāng)，泄露給未經(jīng)授權(quán)的實(shí)體。秘密可以通過日志和緩存數(shù)據(jù)泄露出去。它們可以共享用于調(diào)試;一旦調(diào)試完成，就不可更改或撤銷。它們可能被黑客破解。由于所有這些原因，秘密應(yīng)經(jīng)常輪換。

6. 自動(dòng)創(chuàng)建密碼

創(chuàng)建密碼和訪問密鑰的方式對(duì)其安全性至關(guān)重要。人們手動(dòng)創(chuàng)建密碼會(huì)帶來災(zāi)難。據(jù)Troy Hunt聲稱，85%的密碼都不安全。消除糟糕密碼的方法是，使用機(jī)器自動(dòng)生成的密碼，這些密碼具有獨(dú)特性，不易被破解。今天，大多數(shù)秘密管理工具都擁有密碼自動(dòng)生成這項(xiàng)默認(rèn)功能。

7. 負(fù)責(zé)任地存儲(chǔ)秘密

秘密管理工具對(duì)容器安全而言已變得不可或缺。它們的首要重心是防止秘密被保存在磁盤上、嵌入代碼中，或者嵌入到秘密管理器本身之外的系統(tǒng)的任何部分。這是個(gè)文化問題，很難在大團(tuán)隊(duì)中實(shí)施。然而有必要使用秘密工具來創(chuàng)建密碼，并借助到期失效的令牌，使用同樣的工具共享密碼。

8. 發(fā)現(xiàn)未經(jīng)授權(quán)的訪問

盡管你努力了，但在某個(gè)時(shí)候，秘密還是可能會(huì)泄密。在這種情況下，你的所有先前計(jì)劃將經(jīng)受測試，盡早發(fā)現(xiàn)事件(這是你需要部署安全監(jiān)控工具的原因)。

你還應(yīng)準(zhǔn)備好制定計(jì)劃，一旦發(fā)現(xiàn)泄密就迅速響應(yīng)。假設(shè)你在泄密發(fā)生一小時(shí)后發(fā)現(xiàn)了情況。你能多快地禁止訪問惡意用戶或?qū)嶓w?在這里，全面控制系統(tǒng)中每個(gè)點(diǎn)的密碼和經(jīng)過深思熟慮的架構(gòu)必不可少。需要更改系統(tǒng)中的所有密碼，作為預(yù)防措施。這可以輕松實(shí)現(xiàn)嗎?一旦所有密碼更改，能不能通知合法用戶、能不能立即為他們授予訪問權(quán)限?萬一系統(tǒng)宕機(jī)，密碼管理器是否仍正常運(yùn)行?

確保你能夠發(fā)現(xiàn)泄密，并已制定了管理上面列出的所有考量因素的計(jì)劃。

結(jié)論

容器為IT管理員和DevSecOps團(tuán)隊(duì)帶來了新的安全挑戰(zhàn)。然而，如果了解潛在風(fēng)險(xiǎn)以及減輕這些風(fēng)險(xiǎn)的方法，你可以建立起更可靠、幾乎萬無一失的安全機(jī)制。

原文標(biāo)題：8 Best Practices for Container Secrets Management，作者：Twain Taylor

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】