hashicorp Vault 如何保护数据库凭据?

How does hashicorp Vault work for securing DB credentials?

我正在研究 vault 以确保各种 Web 应用程序使用的数据库凭据的安全。我查看了一些 Youtube 视频、幻灯片共享,甚至下载了 Vault 进行试验。我无法完全理解 it.How Vault 是否保护诸如使用令牌向 Vault 进行身份验证的 Web 应用程序之类的凭据?我假设 Apache 进程必须拥有保险库令牌(用户令牌,而不是根令牌),以便它可以访问它 运行 的应用程序的秘密。这似乎会暴露 Apache 进程在应用程序受到威胁时可以访问的任何秘密。我在这里看不到大胜利,所以我一定错过了很多。

简而言之,Vault 支持身份验证后端,然后允许您生成令牌。令牌应被视为临时访问,与密钥不同。

特别是,Vault 支持使用许多不同的系统进行身份验证,以根据需要生成动态机密和凭据。这有据可查 here

在安全方面,我们的想法是将 authentication backend 作为主节点,然后生成令牌。您说硬编码令牌是一种安全风险是正确的。一旦动态生成,它们应该具有严格的权限和较短的 TTL。 Vault 使这变得简单,因为您可以使用 ACL 定义令牌的范围。