数据加密服务 DEW数据加密服务 DEW

更新时间:2021/07/27 GMT+08:00
分享

使用场景

凭据统一管理

应用系统中存在大量的敏感凭据信息,且分散到不同业务部门及系统,管理混乱,缺乏集中管理工具。

通过凭据管理服务对敏感凭据进行统一的存储、检索、使用等全生命周期管控。

解决方案说明如下:

  1. 用户或管理员应用敏感凭据进行收集。
  2. 将收集的敏感凭据上传托管到凭据管理服务。
  3. 通过IAM细粒度功能,对每个凭据的访问和使用配置对应的权限策略。

凭据安全检索

应用程序访问数据库或其他服务时需校验身份,提供如密码、令牌、证书、SSH 密钥、API 密钥等各种类型的凭据信息,通常直接使用明文方式嵌入在应用程序的配置文件中。该场景存在硬编码与明文存储易泄露,安全性较低等风险问题。

通过凭据管理服务,用户可以将代码中的硬编码替换为对API 的调用,以便用编程的方式动态查询凭据,由于该凭据中不包含敏感信息,保证凭据不被泄露。

解决方案说明如下:

应用读取配置时,调用凭据管理服务API检索读取凭据(代替硬编码和明文凭据)。

轮换凭据和密钥

为提升系统安全性,需要对敏感凭据进行定期更新。凭据轮换时要求对目标凭据具备依赖性的应用或配置同步更新,多应用系统凭据更新容易遗漏,可能带来业务中断风险。

通过凭据管理服务,提供凭据多版本管理,应用节点通过API/SDK调用实现应用层凭据安全轮换。

解决方案说明如下:

  1. 管理员通过凭据管理控制台或API接口新增凭据版本,更新目标凭据内容。
  2. 应用节点通过调用API/SDK 获取最新凭据版本,或指定版本状态的凭据版本,实现全量或灰度的凭据轮换。
  3. 定期重复步骤2步骤3实现凭据定期轮转。
  4. 加密密钥开启密钥轮换,提高存储安全性。
分享:

    相关文档

    相关产品