【微服务安全】使用Spring Cloud Vault Config管理数据库帐户
apaas.dev
17 November 2022
Spring Cloud Vault Config允许您的Spring应用程序从Hashicorp Vault检索配置数据。此外,您可以让Vault管理应用程序的数据库帐户。
这是通过名为“数据库”的秘密后端实现的,该后端允许Vault为每个请求访问的实例动态创建数据库帐户。在本文中,我们将讨论为什么这可能是您想要的,以及如何在SpringCloudVault配置中使用它。
为什么你应该关心
凭据是敏感信息,无论其管理方式如何。因此,减少凭证受损的影响并增加攻击者的负担是解决凭证相关问题的几种方法之一。
对于机器使用的帐户,很难实现真正适用于人类帐户、交互式确认或多因素身份验证的好方法。
减少凭证丢失影响的一种方法是限制其使用期限:使用期限已过的被盗凭证毫无价值(希望看看你,密码轮换要求和“password-7”、“password-8”…)。
除了限制凭证可以使用的时间外,还可以限制可接受的使用量。如果一次性代币已经用完,那么事后再偷是没有意义的。