写点什么

使用 Chef-Vault 实现机密信息管理

  • 2016-02-02
  • 本文字数:946 字

    阅读完需:约 3 分钟

Chef-vault 是一款以加密数据包为基础构建的 Chef 工具,可以减少解密密钥在所有用户和基础设施节点之间共享的需求。

在 Chef 基础结构中,加密数据包项是一种常用的机密信息(如密码或 API 密钥)存储方式。问题是,由于数据包是对称加密的,所以加密密钥(共享机密信息)需要分发给所有需要使用加密数据包的各方。

Chef-vault 解决了这个问题,它使用每个需要访问加密数据包的用户和节点的公共密钥加密共享机密信息。由 Chef 服务器管理的每个节点及用户账户都有一个 RSA 密钥对。Chef 服务器存储着公共密钥。Chef 节点和用户工作站存储着私有密钥。

Chef-vault 管理保险库。每个保险库有一个管理员(Chef 用户)和客户端(Chef 节点)的列表。只有这些管理员和客户端可以看到保险库的内容。一个保险库是一个数据包,包含两个数据包项。一个存储包含共享机密信息(比如数据库密码)的加密项。另一个存储管理员和客户端列表以及每个管理员和客户端的非对称加密共享机密信息。

每当 chef-vault 创建一个新的加密数据包,它首先会使用 SecureRandom.random_bytes 生成一个长为 32 个字节的随机字符串作为共享机密信息。然后,它会检索每个管理员和客户端的公共密钥,用它加密共享机密信息。这个过程减少了分发共享机密信息的需求,提供了一种更简单的方法控制对指定加密数据包项的访问。Chef-vault 还提供了一个 rotate_keys 操作,顾名思义,它会新建一份共享机密信息,并使用所有管理员和客户端的公共密钥加密它。

Chef-vault 有一些局限。至少这一次,它还不能很好地处理自动扩展,还需要人为增加或删除客户端(比如节点),或者像 Peter Burkholder 在一篇有关 chef-vault 的文章中所描述的那样,借助于“可以访问国王之钥的特权节点”。另外,无法替换已提供的密钥机制,不过, chef-vault 3.x.x 将会使用一个插件架构来解决这个问题。

机密信息管理是分布式可扩展环境的一个难题。Chef-vault 是一款特定于Chef 的工具,有好处也有不足。还有其他一些机密信息管理方案,有些是开源的,如Hashicorp 的 Vault 或 Square 的 Keywhiz ,有些是商业的,如 Amazon KMS Conjur

Nordstrom 是 Chef-vault 最初的开发者。该项目已于 2015 年 11 月转移到 Chef 项目之下,因此,有足够的资源维继它的开发。

查看英文原文: Secrets Management with Chef-Vault

2016-02-02 18:001642
用户头像

发布了 1008 篇内容, 共 387.7 次阅读, 收获喜欢 344 次。

关注

评论

发布
暂无评论
发现更多内容

技术写作最佳实践与策略指南

小万哥

最佳实践 程序人生 软件工程 后端开发 技术写作

基础知识回顾:安装 NGINX 开源版和 NGINX Plus

NGINX开源社区

web服务器 keepalive nginx 开源版 NGINX PLUS NGINX repo

软件开发

Geek_8da502

拳头游戏即将完成全球基础设施全面迁移至亚马逊云科技

财见

神奇的 lua

蓬蒿

lua Lua脚本

你不知道的WEB3钱包!你绝对不想错过的bitget钱包

威廉META

Python终于可以自动收发邮件了,1行代码实现

程序员晚枫

Python 邮件

科技快讯丨浪潮海岳低代码平台inBuilder全面亮相开放原子开发者大会

inBuilder低代码平台

开源 低代码

什么是 DDoS ?如何识别DDoS?怎么应对DDOS攻击

德迅云安全杨德俊

实践解析HPA各关联组件扭转关系

华为云开发者联盟

云原生 后端 华为云 华为云开发者联盟

回调函数 | AI工程化部署

AIWeker

c AI AI工程化部署

我的深度学习项目经验分享

小王撤了

AI

淘宝商品详情数据接口使用方法介绍

tbapi

淘宝电商 淘宝商品详情数据接口 淘宝API接口 淘宝数据采集

第一视角现场探展!带你揭秘爱采购生成式AI如何提效赋能

科技热闻

你不知道的WEB3钱包!你绝对不想错过的bitget钱包

鳄鱼视界

睡前简单聊两句——内容创作的那些事

Java 工程师蔡姬

技术人 内容创作 21 天技术人写作行动营

云图说丨初识华为云OrgID

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 华为云云图说

2023技术总结——AI成为了我日常不可缺少的部分

StackOverflow

AI 模型 GPT

你不知道的WEB3钱包!你绝对不想错过的bitget钱包

股市老人

我想 Debug 容器运行时

蓬蒿

Containerd 容器运行时

终端闲思录(1)- k8s 日志引发的联想

蓬蒿

终端

一款电压检测LVD

芯动大师

使用Chef-Vault实现机密信息管理_安全_João Miranda_InfoQ精选文章