信息化觀察網(wǎng)

云計算徹底改變了我們處理有價值數(shù)據(jù)的方式。以前鎖定在保險箱中的東西現(xiàn)在存儲在公用或專用服務器以及虛擬數(shù)據(jù)中心中。根據(jù)高盛（Goldman Sachs）分析師的說法，截至2020年，所有IT工作負載中約有23％在云中處理。到2023年，這一數(shù)字可能高達43％。

云服務在公司的許多項目中都發(fā)揮著重要作用。我們自己使用各種云服務，并為客戶提供云開發(fā)和維護服務。在使用云技術時，確保敏感和有價值的數(shù)據(jù)安全是重中之重。

以前，我們用鐵鎖保護的東西現(xiàn)在用密碼保護。我們每天都以用戶憑據(jù)，密碼，加密密鑰，配置文件和API令牌的形式使用機密。考慮到它們的重要性，應該對安全密碼進行負責任的管理。保護不善的機密可能會導致破壞性的數(shù)據(jù)泄露以及財務和聲譽損失?？紤]一下，最近與Facebook有關的情況，當時有近3000萬用戶的個人數(shù)據(jù)由于訪問令牌被盜而暴露。

根據(jù)我們的經(jīng)驗，這里分享有關如何管理云中的密碼，如何使用哪些工具以及準備應對哪些挑戰(zhàn)等相關見解。

管理云中的密碼

服務提供商（CSP）的職責范圍完全取決于我們所使用的云類型。云可以是私有、混合或公共的。在公共云或混合云中，關鍵數(shù)據(jù)安全職責在云主機和用戶之間分配。但是，最大程度地利用CSP提供的內(nèi)容取決于您（用戶）。而且，如果您的CSP的本機機密管理解決方案不能滿足您的需求，則您有責任找到更合適的設備并完全保護您的關鍵數(shù)據(jù)。另外，請確保評估您使用的所有機密管理工具的配置，因為默認設置可能并不總是對您有利。

考慮到當前的任務，事先計劃您的密碼管理策略，然后選擇最能滿足您需求的解決方案。大多數(shù)CSP提供用于管理其云中機密的本機解決方案：用于Google Cloud的Secret Manager，用于Microsoft Azure的Key Vault，用于Amazon Web Services（AWS）的密鑰管理服務（KMS）。雖然這些是針對特定云的本機解決方案，但其中大多數(shù)工具也可以在多云環(huán)境中使用。對于那些無法做到的，CSP通常提供兼容多云的替代方案（例如適用于AWS KMS的AWS CloudHSM）。還有一些云平臺（例如HashiCorp Vault）未提供的獨立解決方案，以及密碼管理功能，這些功能是容器平臺（如Kubernetes和Docker）的一部分。

當前，AWS提供了多種工具來管理不同類別的機密。KMS是用于處理各種機密（特別是加密密鑰）的通用解決方案。反過來，參數(shù)存儲和機密管理器在存儲參數(shù)，機密和配置信息方面效果更好。這兩個服務大致相同，但Secrets Manager可以生成隨機機密并輪換機密值。您還可以通過AWS Lambda在AWS中自動執(zhí)行密碼輪換。

管理密碼時會遇到什么挑戰(zhàn)

無論您是在不同的云服務中，還是在特定的基于云的應用程序中使用機密，正確管理機密程序都可以為您帶來很多好處：

1.粒度數(shù)據(jù)訪問。

2.安全密碼傳輸。

3.自動憑證滾動。

4.微服務中的輕松機密管理。

5.用于多環(huán)境部署工件的單個存儲。

但是，要構建機密管理策略，您需要做出許多選擇。這就是一切變得更加困難的地方。您需要注意的一件事是數(shù)據(jù)加密。根據(jù)經(jīng)驗，所有關鍵數(shù)據(jù)都應加密。但是，區(qū)分必須加密的數(shù)據(jù)類型可能具有挑戰(zhàn)性。

首先，保護對您的應用程序或基礎架構至關重要的數(shù)據(jù)。另外，不要將機密（密鑰和密碼）與標識符（用戶名）混為一談，因為丟失后者比丟失前者的危害要小得多。

鑒于驗證用戶身份至關重要，請確保實施適當?shù)纳矸莨芾頇C制。此外，通過定義具有不同數(shù)據(jù)訪問級別的多個角色并將這些角色添加到您的密碼管理解決方案中，確保只有少數(shù)人可以訪問受限制的數(shù)據(jù)。

最后，您需要應付實施開銷。具有少量配置選項的基本解決方案對于小型項目可能就足夠了。但是，如果您打算將來擴展項目，則盡早開始采用復雜的機密管理方法是明智的。這樣，在需要進行重大改進時，您就不必浪費資源來重新配置整個系統(tǒng)。

請牢記這些挑戰(zhàn)，以改善您的密碼管理程序并確保對最有價值的數(shù)據(jù)進行適當?shù)谋Ｗo。