Istio和Hashicorp Vault:使用SPIFFE向Vault进行身份验证 - 腾讯云开发者社区

文章/答案/技术大牛

发布

使用 Vault 管理数据库凭据和实现 AppRole 身份验证

Vault 是一个开源工具，可以安全地存储和管理敏感数据，例如密码、API 密钥和证书。它使用强加密来保护数据，并提供多种身份验证方法来控制对数据的访问。...Vault 可以部署在本地或云中，并可以通过 CLI、API 或 UI 进行管理。本文将介绍 Vault 的初始化、数据库密钥引擎和身份验证方法。...我们将首先介绍如何使用 UI、CLI 或 REST API 初始化 Vault。然后，我们将介绍如何使用 Vault 的数据库密钥引擎来管理数据库凭据。...最后，我们将介绍如何使用 AppRole 身份验证方法来保护 Vault 中的数据。...operator unseal A15zzLWHW18dXEGp3fEW9qUcoOmcjjInXESlS4RAB4w= 环境变量VAULT_TOKEN和vault login二选一 / # export

1.9K1 1

Kubernetes 证书管理系列（一）

img cert-manager 可以从各种受支持的来源颁发证书，包括 Let's Encrypt、HashiCorp Vault和Venafi以及私有 PKI。...在不停机的情况下自动/手动颁发和安装证书的话，需要借助 Certbot （一款免费的开源软件工具）来启用 HTTPS。 HashiCorp Vault 是一个开源的密钥和隐私数据管理工具。...使用 Vault 签发的部署流程 img 上图详细的描述了使用 Vault 签发证书的 cert-manager 的部署安装流程。以上内容，我会在后续文章中进行详细展开，敬请期待。...istio-csr 实现了 gRPC Istio 证书服务，该服务对来自 Istio workload 的传入证书签名请求进行身份验证、授权和签名，并通过安装在集群中的 cert-manager 路由所有证书的处理...SPIRE 还可以使 workload 能够安全地向存储、数据库或云厂商进行身份验证。一个 SPIRE 由一个 SPIRE Server 以及一个或者多个 SPIRE Agent 组成。

3.2K2 1

您找到你想要的搜索结果了吗？

是的

没有找到

使用 Cilium 服务网格的下一代相互身份验证

这包括 SPIFFE、Vault、SMI、Istio、…… 握手缓存和重新身份验证：握手一次可以完成缓存，并且可以在经过身份验证的服务之间进行通信，而不会为已经经过身份验证的服务对服务对引入额外的延迟。...更好的是，可以定期进行身份验证，以定期重新对服务进行身份验证。可选的完整性和机密性：提供完整性和机密性的最昂贵的操作是可选的。...Cilium 和 Cilium 服务网格的相互认证 Cilium 用于识别服务和实施网络策略的内置身份概念是集成高级身份和证书管理（如 SPIFFE、Vault、SMI、cert-manager 或 Istio...以下是在 GKE 上运行的 Cilium 与 nighthawk 在不同模型中进行 HTTP 基准测试的测量结果：无需额外的相互身份验证（基线）启用 WireGuard 以实现完整性和机密性 Istio...我们相信，我们不仅可以与现有的身份管理解决方案（如 SPIFFE、cert-manager 甚至 Istio 作为控制平面）实现高度集成，而且还可以提供更优雅、更高性能和更安全的身份验证实现以及出色的数据路径属性

1.3K1 0

谁使用SPIFFE？

SPIFFE目前被各种项目用于发行（issue）和消费（consume）SPIFFE ID。发行者 SPIRE项目 SPIRE是一个开源工具链，可在各种环境中实现SPIFFE规范。...了解更多： https://spiffe.io/spire Istio Citadel Istio Citadel 发布所有工作负载的SPIFFE ID。...了解更多： https://istio.io/docs/concepts/what-is-istio/#citadel HashiCorp Consul Consul Connect服务网格使用SPIFFE...SPIFFE ID向Knox进行身份验证。...部分中的发行者和消费者列表，就是使用data/users.yaml文件生成。

1.5K2 0

在 Kubernetes 上部署使用 Vault

本文就将来介绍如何使用 HashiCorp Vault 在 Kubernetes 集群中进行秘钥管理。 ? Vault 介绍 Vault 是用于处理和加密整个基础架构秘钥的中心管理服务。...Vault 通过 secret 引擎管理所有的秘钥，Vault 有一套 secret 引擎可以使用，一般情况为了使用简单，我们会使用 kv（键值）secret 引擎来进行管理。...Vault 中，Vault 提供了一个 Kubernetes 认证的方法可以让客户端通过使用 Kubernetes ServiceAccount 进行身份认证。...在 Pod 中自动添加一个 vault-agent 的 Sidecar 容器其实也是利用了 Mutating Admission Webhook 来实现的，和 Istio 实现的机制是一样的： ?...更多的关于 Vault 和 Kubernetes 的结合使用可以查看官方文档 https://learn.hashicorp.com/vault/getting-started-k8s/k8s-intro

2.9K2 0

部署企业私密信息管理平台Hashicorp vault集成kubernetes和AWS的密钥信息

Vault提供了加密即服务（encryption-as-a-service）的功能，可以随时将密钥滚动到新的密钥版本，同时保留对使用过去密钥版本加密的值进行解密的能力。...审计日志保管库存储所有经过身份验证的客户端交互的详细审核日志：身份验证，令牌创建，私密信息访问，私密信息撤销等。可以将审核日志发送到多个后端以确保冗余副本。...HashiCorp Vault也能与Ansible、Chef、Consul等DevOps工具链无缝结合使用。...进行解封，随便取3个，只要达到key threashold即可 kubectl exec -ti vault-0 -n vault -- vault operator unseal # ......五、集成管理kubernetes密钥待补充六、集成管理AWS密钥待补充七、Vault的使用待补充

2.1K3 1

GoCenter 的“火眼金睛” ——检测、报告并减少Go Module的安全漏洞

以下是1.3.4版变更日志的摘录，详细介绍了此漏洞的影响： gopkg.in/hashicorp/vault.v0和github.com/hashicorp/vault都受到了HashiCorp Vault...如上例所示，修复是在github.com/hashicorp/vault内进行的。...Module istio.io/istio在其go.mod文件里记录了对github.com/hashicorp/vault的依赖。通常，您会认为istio.io/istio的安全性也会受到威胁。...首先，让我们看一下GoCenter中的Go Module：github/hashicorp/vault。...在这里，查看“版本”选项卡可以查找该模块的安全版本，以便您可以在go.mod文件中对其进行升级。一旦确定了所有组件和依赖项，它们的信息就会与其他漏洞源和数据库进行交叉引用，以提醒您任何潜在的威胁。

1.4K1 0

HashiCorp Vault | 技术雷达

在2017年3月份期技术雷达中，HashiCorp Vault已经处于TRIAL级别。 ? 为什么要使用HashiCorp Vault？...Vault提供了加密即服务（encryption-as-a-service）的功能，可以随时将密钥滚动到新的密钥版本，同时保留对使用过去密钥版本加密的值进行解密的能力。...保管库存储所有经过身份验证的客户端交互的详细审核日志：身份验证，令牌创建，私密信息访问，私密信息撤销等。可以将审核日志发送到多个后端以确保冗余副本。...HashiCorp Vault也能与Ansible、Chef、Consul等DevOps工具链无缝结合使用。...HashiCorp 架构 HashiCorp对私密信息的管理进行了合理的抽象，通过优良的架构实现了很好的扩展性和高可用。 ?

2.7K5 0

在 Kubernetes 上部署 Secret 加密系统 Vault

Vault 提供由身份验证和授权方法控制的加密服务。使用 Vault 的 UI、CLI 或 HTTP API，可以安全地存储和管理对机密和其他敏感数据的访问、严格控制和可审计。...我们可以使用官方 HashiCorp Vault Helm Chart 将 Vault 部署到 Kubernetes 中。.../TCP 11m 避坑指南 Vault-0 一直 NotReady，通过 get pod 命令进行查看。...with=token 使用Token登录，需要使用到上面获得到的Initial Root Token：总结本文实践了如何在 Kubernetes 中使用 Helm 部署 HashiCorp Vault...下面是一些常用场景：使用在 Kubernetes 中运行的 Vault 服务的应用程序可以使用不同的 secrets 引擎[1] 和身份验证方法[2] 从 Vault 访问和存储秘密。

1.6K2 0

Cilium服务网格的下一代双向认证

双向认证通常使用公钥和私钥对或单一共享密钥来实现。这两种形式都依赖于使用加密的信息进行握手。下面是一个关于TLS 1.3的握手方式的例子。...其中包括SPIFFE、Vault、SMI、Istio等。握手缓存和重新认证。...Cilium服务网格双向认证 Cilium内置的服务认证服务和网络策略功能，是整合SPIFFE、Vault、SMI、cert-manager或Istio等高级身份和证书管理的理想平台，其使现有的身份和证书管理层可以用来管理服务身份并生成证书...我们将以SPIFFE与Cilium的为例。其允许在创建网络策略时使用SPIFFE身份来选择工作负载。...我们相信，不仅可以与现有的身份管理解决方案（如SPIFFE、cert-manager甚至Istio作为控制平面）进行很好的整合，还可以提供一个更优雅、更高性能、更安全的认证实现，并结合强大的数据路径属性

8892 0

使用 JWT-SVID 做为访问 Vault 的凭据

设置联邦之后，SPIRE 认证的工作负载就能使用 JWT-SVID 来通过 Vault Server 的认证。这样工作负载就无需使用 AppRole 或者用户名密码的方式来进行认证了。...这里会大量使用来自 https://github.com/spiffe/spire-tutorials.git 的代码。...这里需要一个 Email 地址，这个地址需要满足 Let’s Encrypt CA 的要求，用于 OIDC 联邦证书的签署，使用过程中不会向这个邮箱发送邮件。...Vault Server 会到这里进行查询，完成 Valut Server 和 SPIRE 之间的认证过程。实际上还可以使用 JWKS 进行 Vault 的集成认证。...获取 Vault 凭据接下来我们来获取用于 Vault 的 Token。这里使用客户端工作负载通过 SPIRE 联邦来获取和进行认证。

1.2K2 0

一文读懂 Traefik v 2.6 企业版新特性

2、Mesh Proxies - Mesh 代理 Mesh 代理管理集群上服务之间的内部通信，以便它们可以协同工作，同时提供服务间身份验证、速率限制和流量拆分等功能。...启用后，它们可以将用于通过 OIDC 进行身份验证的客户端请求的 Cookie 的总大小从数百 KB 减少到仅几个字节。有状态模式的引入将降低延迟并提高效率。...下面为一个如何将 OIDC 配置为使用会话存储的简要示例，其中自定义发现和身份验证参数应用于 Traefik Enterprise 和身份验证服务器之间的授权流。...支持 HashiCorp Vault 命名空间此版本的 Traefik Enterprise 改进了对 HashiCorp Vault 和 Consul 的支持。...由于没有命名空间配置选项，因此无法连接到使用该功能的 Vault 企业实例，例如 HashiCorp 的托管选项，它默认使用命名空间。

1.9K6 0

让部署更快更安全，GitHub 无密码部署现已上线

凭证对 Hashicorp Vault、AWS、Azure 和 GCP 等云提供商进行身份验证，而无需使用长期凭证或密码。...云的现代开发通常需要针对云提供商对持续集成和持续部署（CI/CD）服务器进行身份验证，以便对已配置的基础设施进行更改。...然后，云提供商可以使用该信息来为任何的后续操作颁发短期凭证，例如访问令牌。目前 GitHub Actions 支持 Hashicorp Vault、亚马逊网络服务、Azure 和谷歌云平台。...尽管反响热烈，但其采用速度似乎比预期的要慢，WhiteDuck DevOps 的咨询与运营主管 Nico Meisenzahl 在推特上写道：在 #GitHub Actions 中使用 #OIDC 进行云提供商和...2022 年底发布的 GitLab 15.7 版本支持访问 Hashicorp Vault、AWS、Azure 和 GCP，而 Circle CI 于 2023 年 2 月宣布支持 GCP 和 AWS

1.4K1 0

Jenkins凭证管理（下）

HashiCorp Vault。...HashiCorp Vault是一款对敏感信息进行存储，并进行访问控制的工具。敏感信息指的是密码、token、秘钥等。它不仅可以存储敏感信息，还具有滚动更新、审计等功能。...集成HashiCorp Vault 1.安装HashiCorp Vault插件 2.添加Vault Token凭证 3.配置插件 pipeline HashiCorp Vault插件并没有提供pipeline...若没有报错，则找到target/hashicorp-vault-pipeline.hpi进行手动安装首先我们使用vault命令向vault服务写入私密数据以方便测试：vault write secret..."${x}" echo "${SECRET}" } } } } } 我们可以在environment和steps中使用vault步骤。

1.7K1 0

MySQL Keyring使用Hashicorp Vault

现在我们在企业套件中添加了对Hashicorp Vault服务器的初始支持。初识keyring_hashicorp插件！作者口中的Hashicorp Vault是“安全获取秘密的工具”。...除了存储和检索秘密(例如密钥和/或类似的敏感数据)外，它还支持一系列安全特性，例如动态秘密、数据加密、撤销等。...从MySQL 8.0.18开始，在众多功能中，我们添加了keyring_hashicorp插件，该插件使用Hashicorp Vault作为后端。...该插件功能的简短概述如下：实现用于密钥管理的MySQL Keyring接口使InnoDB可以使用它来存储表加密密钥支持采用文件后端的 Hashicorp Vault KV引擎使用Hashicorp...Vault AppRole身份验证样式通过可选的CA验证支持与保管库的HTTPS链接提供可选的内存中密钥缓存功能支持与其他现有后端之间的迁移感谢关注MySQL！

1.4K4 0

如何在Ubuntu上加密你的信息：Vault入门教程

在本教程中，您将学会：安装Vault并将其配置为系统服务初始化加密的磁盘数据存储通过TLS安全存储和检索敏感值通过一些策略，您将能够使用Vault安全地管理各种应用程序和敏感数据。...在您的服务器上启用防火墙，如果您使用的是腾讯云的CVM服务器，您可以直接在腾讯云控制台中的安全组进行设置。...grep linux_amd64 vault_*_SHA256SUMS | sha256sum -c - SHA256SUMS文件中的每一行都有一个校验值和一个文件名，HashiCorp提供的一个zip...每当启动或重新启动Vault时，都需要执行这些解密步骤。但是，解密是与Vault正常交互（例如读取和写入值）的不同过程，这些过程由令牌进行身份验证。...结论在本文中，您在Ubuntu 16.04上安装，配置和部署了Vault。虽然本教程仅演示了使用非特权令牌，但Vault文档还提供了有关存储和访问机密的其他方法以及其他身份验证方法的更多信息。

3.7K3 0

每周云安全资讯-2022年第53周

https://mp.weixin.qq.com/s/l8AqfOglu3ZAtZO4NE2KyQ 6 如何使用 Hashicorp Vault 作为一种更安全的方式来存储 Istio 证书在本文中...，将探讨如何使用 Hashicorp Vault 作为一种比使用 Kubernetes Secret 更安全的方式来存储 Istio 证书。...、技术和程序 (TTP)，并旨在快速洞察对手可能在其攻击活动中使用的潜在TTP。...https://microsoft.github.io/Threat-Matrix-for-Kubernetes/ 9 Containerd深度剖析-CRI篇本文就针对K8s使用Containerd作为运行时的整个调用链进行介绍...云原生在给企业带来敏捷的同时，也引入了全新的安全风险和挑战。与传统的安全防护能力不同，云原生安全需要安全能力和云原生平台紧密结合，安全必须集成到持续集成和持续开发流程中，真正成为内生安全。

6425 0

MySQL8.4创建keyring给InnoDB表进行静态数据加密

.首先创建放key的目录mkdir -p /u01/mysql3308/keyringcd /u01/mysql3308/keyring2.创建公司Key company.key和HashiCorp Vault...-----8.下载和安装HashiCorp Vault程序，我的是Oracle Linux 8，其他安装方式参考网址https://developer.hashicorp.com/vault/installsudo...Vault服务export VAULT_SKIP_VERIFY=1vault operator init -n 1 -t 112.保存后key和token后面要用[root@mysql8_3 keyring...]# vault status16.设置HashiCorp Vault认证和存储启用AppRole认证方法并检查[root@mysql8_3 keyring]# vault auth enable approle...-version=1 kv17.创建并设置一个名为mysql的规则，并在keyring_hashicorp插件使用[root@mysql8_3 keyring]# vault write auth/approle

3741 0

多集群运维(番外篇)：SSL证书的管理

使用泛域名证书（Wildcard Certificate）和 HashiCorp Vault 对于在多个 Kubernetes 集群中有效地管理证书是一个有效的策略。...这可以减少证书的数量和管理成本。保存证书到 Vault KV 引擎：将证书保存到 HashiCorp Vault 中的 Key-Value 引擎。...服务启动时,它开始是密封（sealed）的状态，需要使用Unseal Key 1-5中的任意3个进行解封（Unsealing ）操作，解封后才能vault进行交互。...Secret： kubectl get secret my-cert-secret -o yaml 最后使用Curl 命令验证使用和证书的服务或者API接口否生效 curl https://your_svc.com...请注意，这里的示例可能需要根据你的环境和需求进行调整。在部署到生产环境之前，请确保对配置进行充分测试。

1.1K3 0

在 Kubernetes 读取 Vault 中的机密信息

安装和启动 Vault 官网提供了各种系统中的安装指导，例如 CentOS 中可以用包管理器来安装： $ yum install -y yum-utils $ yum-config-manager --...add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo $ yum -y install vault ......服务在 Kubernetes 中可以为 Vault 创建 Endpoint 和 Service，用于为集群内提供服务： apiVersion: v1 kind: Service metadata:...注入器使用 Helm 进行安装： $ helm repo add hashicorp https://helm.releases.hashicorp.com "hashicorp" has been...=http://external-vault:8200" 这个安装器会创建 RBAC 相关内容，MutatingWebhook 以及用于执行注入的 Deployment 和 Service。

3K2 0

点击加载更多

使用 Vault 管理数据库凭据和实现 AppRole 身份验证

Kubernetes 证书管理系列（一）

使用 Cilium 服务网格的下一代相互身份验证

谁使用SPIFFE？

在 Kubernetes 上部署使用 Vault

部署企业私密信息管理平台Hashicorp vault集成kubernetes和AWS的密钥信息

GoCenter 的“火眼金睛” ——检测、报告并减少Go Module的安全漏洞

HashiCorp Vault | 技术雷达

在 Kubernetes 上部署 Secret 加密系统 Vault

Cilium服务网格的下一代双向认证

使用 JWT-SVID 做为访问 Vault 的凭据

一文读懂 Traefik v 2.6 企业版新特性

让部署更快更安全，GitHub 无密码部署现已上线

Jenkins凭证管理（下）

MySQL Keyring使用Hashicorp Vault

如何在Ubuntu上加密你的信息：Vault入门教程

每周云安全资讯-2022年第53周

MySQL8.4创建keyring给InnoDB表进行静态数据加密

多集群运维(番外篇)：SSL证书的管理

在 Kubernetes 读取 Vault 中的机密信息

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐