我知道 Hashicorp Vault 的优势在于动态机密。但是,我想探索远离 CyberArk 以节省潜在成本并在 Vault 的 kv2 中托管我们的静态机密。
在 CyberArk 中,我们采用了一种将秘密字符串“分成两半”的流程。要将密码/短语输入 CyberArk 进行存储,A 将前半部分输入文本框(隐藏),将屏幕分享给输入另一半秘密的 B。检索采用相同(反向)过程,并由两个人键入目标(希望屏蔽)系统。
如果需要在文本文件中配置秘密,这种模式当然会崩溃,这是它的最大缺陷。这就是 Vault 的亮点,因为我可以通过 Vault 代理使用秘密介绍。然而,这是秘密检索,这不是我的问题。我的问题是秘密存储。
我在互联网上进行了搜索并联系了 Hashicorp 支持。像我们这样受监管的公司接受的建议并不多(例如,对于 kv2,我们被告知要信任某个人/团体来键入初始机密)。
现在我们还没有创建一个小型网络界面来模仿上面的拆分密码方法(例如我们在 CyberArk 中的做法)。
如果您在企业环境中使用 kv2,谁来填充机密以及您的流程是什么样的?