Безопасность — Как Хранить Зашифрованные Секреты В Коде Проекта Serverless.com?

Cbxvt1

С помощью serverless.com самый простой способ раскрыть секрет функции AWS Lambda — сохранить его в serverless.yml file (encrypted with KMS, for example).

Но передавать зашифрованные секреты в Git — не самое лучшее на свете. Во-первых, требуется изменение кода, когда необходимо изменить секрет.

Но какова лучшая альтернатива с точки зрения безопасности? например секрет может храниться в S3 (зашифрованном), с предоставлением Lambda доступа к этому местоположению и ключу KMS, но действительно ли это лучше в каком-либо значимом смысле?

#безопасность #aws-lambda #бессерверное #шифрование

Zerovushka

Здесь следует учитывать несколько элементов:

Очень важно иметь возможность поддерживать конфигурацию с отдельной периодичностью выпуска из настраиваемого кода. Это способствует автоматической ротации учетных данных. Делайте это регулярно, чтобы сделать это безболезненным.
С точки зрения «Инфраструктура как код» вполне разумно хранить всю конфигурацию в Git, хотя, возможно, и в другом репозитории, поскольку область конфигурации, скорее всего, будет охватывать более одного сервиса.
Предполагая, что оба приведенных выше утверждения относятся к вашей ситуации, я был бы склонен зашифровать данные с помощью KMS и сохранить их в S3 или DynamoDB. Я бы даже сказал, что в очень простых ситуациях может оказаться целесообразным шифровать и хранить данные внутри самого KMS.

Существует несколько библиотек с открытым исходным кодом, которые поддерживают эту операцию:

Питон: CredS3
Идти: кроссовки

Ken8

Я обычно рассматриваю секреты как данные конфигурации в области видимости. По существу, он не живет рядом с кодом, поскольку обрабатывается разными графиками и процессами выпуска. Отдельный репозиторий git, KMS, Dynamo, s3 или внутри вашей системы управления конфигурациями (chef-vault/зашифрованная база данных в мире шеф-поваров) — хорошие места. По сути, вам не нужно создавать и развертывать новую версию вашего программного обеспечения, чтобы обновить секрет.

Если ваши потребности в управлении секретами более сложны, можно использовать что-то вроде Hasicorp Vault (https://github.com/hashicorp/vault) будет хорошим вариантом.

Похожие темы	Дата
Amazon S3 - Aws Redshift Unload Не Запускает Событие S3 Put	19.12.2024, 05:12
Облако — Как Динамически Создавать Цифровые Капли Океана Без Смены Пароля?	19.12.2024, 05:12
Веб-Службы Amazon — Sftp-Сервер Со Сторонней Системой Управления Пользователями?	19.12.2024, 05:12
Базы Данных — Способы Управления Данными Для Множества Микросервисов, Обслуживающих Множество Клиентов.	19.12.2024, 05:12
Что Vagrant, Puppet, Docker, Chef Могут Сделать Для Веб-Разработчика Полного Стека?	19.12.2024, 05:12
Azure — Использование Signtool.exe В Dockerfile	19.12.2024, 05:12
Странное Поведение Клиента Docker Ce/Ee В Windows — Тайм-Аут Для Определенных Слоев Изображения	19.12.2024, 05:12
Один Репозиторий Для Конфигурации Kubernetes Или Одна Конфигурация Для Каждого Репозитория Приложения.	19.12.2024, 05:12
Автоматизация. Как Автоматизировать Модульное Тестирование Приложения Uwp?	19.12.2024, 05:12
Amazon Ec2 — Невозможно Запустить Несколько Экземпляров Ec2 В Разных Зонах Доступности С Помощью Terraform	19.12.2024, 05:12

Безопасность — Как Хранить Зашифрованные Секреты В Коде Проекта Serverless.com?

Cbxvt1

Zerovushka

Ken8

I AM

Интересно