我已经开始使用Hashicorp的保险柜来管理机密,并对保险箱密封的日常工作提出了一些疑问。我的工作流程有两个身份验证后端;特定用户通过写访问权限访问Vault以添加新密码,服务器可以只读访问他们所需的秘密。
1)在正常情况下,保险柜是否处于未密封状态?我相信它作为动态配置的服务器不应该协调解封。
2)是否密封车外人员以旋转钥匙以及是否有入侵?
3)确保保险库流程始终正常运行的最佳做法是什么,因为如果它死了,保险柜会密封?此外,在高可用性配置中,如果一个Vault节点的进程终止,它是否会为每个人封锁Vault?
答案 0 :(得分:7)
我在Vault Google Group上提出了这个问题,这是最好的回复:
1) Under normal circumstances, does the Vault stay in an unsealed
state? I believe it would as a dynamically provisioned server should
not have to coordinate an unseal.
是。一旦Vault被初始化并且未密封,它通常会保持在一个状态 未密封状态。
2) Is the purpose of sealing to off-board staff to rotate keys and in
case of an intrusion?
密封保险柜可启用交钥匙机制来停止所有服务 保险柜这将需要特定数量的非密封钥匙持有人 使Vault再次运行。
3) What's the best practice for ensuring the vault process is always
running, since if it dies the Vault will seal? Also, in a highly
available configuration, if one Vault node's process dies, does it
seal the Vault for everyone?
此处没有官方最佳做法建议。但 在一个专用的实例/集群中运行Vault 限制/不访问其内存。使用a在HA模式下运行Vault 支持它的后端是好的。如果有任何群集节点 如果重新启动Vault进程,它将处于密封状态 状态,并要求进行开封操作 它可以运作。
最佳, 维沙尔
答案 1 :(得分:2)
取自https://www.vaultproject.io/docs/concepts/seal.html:
启动Vault服务器时,它将以密封状态启动。在此状态下,Vault配置为知道访问物理存储的位置和方式,但不知道如何解密任何物理存储。
开封是构建必要的主密钥的过程 读取解密密钥来解密数据,允许访问 保管库。
在开封之前,Vault几乎不可能进行任何操作。对于 示例身份验证,管理挂载表等都是不可能的。唯一可能的操作是启动Vault并检查解封的状态。
这样,如果检测到入侵,则可以锁定Vault数据 尽快尽量减少损失。如果不访问主密钥分片,则无法再次访问它。