【微服务安全】使用Spring Cloud Vault Config管理数据库帐户
Spring Cloud Vault Config允许您的Spring应用程序从Hashicorp Vault检索配置数据。此外,您可以让Vault管理应用程序的数据库帐户。
这是通过名为“数据库”的秘密后端实现的,该后端允许Vault为每个请求访问的实例动态创建数据库帐户。在本文中,我们将讨论为什么这可能是您想要的,以及如何在SpringCloudVault配置中使用它。
为什么你应该关心
凭据是敏感信息,无论其管理方式如何。因此,减少凭证受损的影响并增加攻击者的负担是解决凭证相关问题的几种方法之一。
对于机器使用的帐户,很难实现真正适用于人类帐户、交互式确认或多因素身份验证的好方法。
减少凭证丢失影响的一种方法是限制其使用期限:使用期限已过的被盗凭证毫无价值(希望看看你,密码轮换要求和“password-7”、“password-8”…)。
除了限制凭证可以使用的时间外,还可以限制可接受的使用量。如果一次性代币已经用完,那么事后再偷是没有意义的。
【应用安全】与Spring Boot、Kafka、Vault和Kubernetes的安全微服务间通信——第1部分:简介和架构
链接
- 第1部分:介绍和体系结构<--本文
- 第2部分:建立Kubernetes和Kafka
- 第3部分:设置Vault
- 第4部分:建立微型服务
- 第5部分:部署和测试
介绍
微服务是一种设计模式,其中大型单片应用程序被分离为更小、更易于管理的组件。这些组件可以协同工作以解决特定的业务问题。
为此,组件需要相互通信。组件之间的通信可以通过多种方式实现:RESTful web服务、SOAP web服务、RPC、消息传递等。消息传递(发布/订阅)的一个流行实现是Kafka。
与大多数消息传递系统相比,Kafka具有更好的吞吐量、内置分区、复制和容错能力,这使其成为大规模消息处理应用程序的一个很好的解决方案。
发布订阅
Kafka遵循发布-订阅模式。这种模式就像一个公告板。例如,如果爱丽丝在公告板上张贴公告。鲍勃和查尔斯都能读。他们可以同时阅读,或者一个接一个地阅读。鲍勃今天可以读黑板,查尔斯明天可以读。爱丽丝的公告将一直保留在公告板上,直到过期为止。
【应用安全】最棒的应用安全
A curated list of resources for learning about application security. Contains books, websites, blog posts, and self-assessment quizzes.
Maintained by Paragon Initiative Enterprises with contributions from the application security and developer communities. We also have other community projects which might be useful for tomorrow's application security experts.