零信任如何適用于云端應(yīng)用和數(shù)據(jù)保護(hù)

在云環(huán)境中，應(yīng)用和數(shù)據(jù)的安全性是零信任策略的重點(diǎn)。Azure Key Vault等工具提供了一個(gè)強(qiáng)大的平臺(tái)，可以幫助管理和保護(hù)應(yīng)用所需的機(jī)密信息。它不僅限于密鑰管理，還包括證書(shū)管理和應(yīng)用程序的安全性。

Azure Key Vault通過(guò)以下方式支持零信任策略：

1. 提供中央存儲(chǔ)來(lái)管理應(yīng)用程序機(jī)密，減少意外泄露的風(fēng)險(xiǎn)。
2. 通過(guò)Azure Active Directory和Azure RBAC確保正確的身份驗(yàn)證和授權(quán)。
3. 使用軟件或硬件安全模塊（HSMs）保護(hù)密鑰和機(jī)密。

下圖展示了Azure Key Vault在管理機(jī)密方面的作用：

零信任策略在保護(hù)云端應(yīng)用和數(shù)據(jù)方面提供了一個(gè)全面的框架，通過(guò)持續(xù)驗(yàn)證和最小化權(quán)限確保數(shù)據(jù)始終受到保護(hù)。通過(guò)Azure Key Vault的集成，云環(huán)境中的安全性得到了進(jìn)一步提升。

Azure Key Vault 的主要功能與優(yōu)勢(shì)

全面了解 Key Vault 的秘密管理、密鑰管理和證書(shū)管理

Azure Key Vault 是一個(gè)綜合性的密鑰管理解決方案，不僅限于秘密管理，還包括密鑰管理和證書(shū)管理。通過(guò)集中存儲(chǔ)應(yīng)用程序的秘密信息，Azure Key Vault 有效地減少了意外泄露的風(fēng)險(xiǎn)，并消除了在應(yīng)用程序代碼中嵌入安全信息的必要性。密鑰和秘密可以通過(guò)軟件或硬件安全模塊（HSMs）進(jìn)行保護(hù)，以增強(qiáng)安全性。借助 Azure Active Directory 和 Azure RBAC，Azure Key Vault 提供了正確的身份驗(yàn)證和授權(quán)機(jī)制，從而確保了安全存儲(chǔ)和訪問(wèn)控制。

通過(guò)上圖可以看出，Azure Key Vault 提供了強(qiáng)大的功能來(lái)保護(hù)敏感信息的安全，支持零信任安全策略的實(shí)施。

如何利用 Azure Key Vault 與其他 Azure 服務(wù)集成

Azure Key Vault 不僅自身提供了強(qiáng)大的安全管理功能，還能輕松集成到其他 Azure 服務(wù)中，例如 Azure Disk Encryption、SQL Server 和 Azure App Service。這種集成能力使得 Azure Key Vault 成為 Azure 生態(tài)系統(tǒng)中不可或缺的一部分，幫助用戶實(shí)現(xiàn)更高效的資源管理和安全策略。通過(guò)與其他服務(wù)的無(wú)縫集成，Azure Key Vault 可以簡(jiǎn)化管理流程，提升整體系統(tǒng)的安全性和可用性。

在 Azure Key Vault 的廣泛應(yīng)用中，其核心優(yōu)勢(shì)在于能夠確保數(shù)據(jù)的安全加密、便捷的訪問(wèn)控制以及與現(xiàn)有 Azure 服務(wù)的深度集成。這些功能不僅滿足了企業(yè)對(duì)于安全管理的高標(biāo)準(zhǔn)要求，還提升了整個(gè)云環(huán)境的運(yùn)營(yíng)效率。

通過(guò) Azure CLI 創(chuàng)建 Key Vault 資源

使用 Azure CLI 創(chuàng)建資源組和 Key Vault

在使用 Azure CLI 創(chuàng)建 Azure Key Vault 資源之前，首先需要?jiǎng)?chuàng)建一個(gè)資源組。資源組是 Azure 中管理和組織資源的邏輯容器。通過(guò)以下命令，可以在指定區(qū)域創(chuàng)建一個(gè)名為 myResourceGroup 的資源組：

az group create --name "myResourceGroup" --location "EastUS"

創(chuàng)建資源組后，即可通過(guò) Azure CLI 創(chuàng)建 Key Vault。確保 Key Vault 的名稱在 Azure 中是唯一的。以下命令將在 myResourceGroup 中創(chuàng)建一個(gè)名為 myKeyVault 的 Key Vault：

az keyvault create --name "myKeyVault" --resource-group "myResourceGroup" --location "EastUS"

如何在 Key Vault 中創(chuàng)建和管理秘密

Azure Key Vault 提供了安全存儲(chǔ)和管理秘密（如密碼和連接字符串）的功能。要在 Key Vault 中創(chuàng)建一個(gè)秘密，可以使用以下命令，將名稱為 ExampleSecret 的秘密設(shè)置為 MySecretValue：

az keyvault secret set --vault-name "myKeyVault" -n ExampleSecret --value MySecretValue

創(chuàng)建秘密后，可以通過(guò)以下命令查看其詳細(xì)信息，以驗(yàn)證秘密是否成功存儲(chǔ)：

az keyvault secret show --vault-name "myKeyVault" -n ExampleSecret

利用 Azure Key Vault 的秘密管理功能，可以將應(yīng)用程序的敏感數(shù)據(jù)安全地存儲(chǔ)在云端，減少因意外泄露而導(dǎo)致的風(fēng)險(xiǎn)。通過(guò)合理的訪問(wèn)控制策略，Azure Key Vault 確保只有經(jīng)過(guò)授權(quán)的用戶和應(yīng)用程序能夠訪問(wèn)這些關(guān)鍵信息。

在虛擬機(jī)中訪問(wèn) Key Vault 中的秘密

在本節(jié)中，我們將介紹如何在虛擬機(jī)中訪問(wèn) Azure Key Vault 中存儲(chǔ)的秘密，并確保操作的安全性和有效性。Azure Key Vault 是一個(gè)強(qiáng)大的工具，用于管理和保護(hù)應(yīng)用程序所需的敏感信息，如密碼和 API 密鑰。

創(chuàng)建虛擬機(jī)并配置系統(tǒng)分配身份

首先，我們需要?jiǎng)?chuàng)建一個(gè)虛擬機(jī)并為其分配系統(tǒng)身份，以便它能夠訪問(wèn) Azure Key Vault 中的秘密。使用以下命令創(chuàng)建虛擬機(jī)，并自動(dòng)生成 SSH 密鑰：

az vm create 
  --resource-group myResourceGroup 
  --name myVM 
  --image UbuntuLTS 
  --admin-username azureuser 
  --generate-ssh-keys

創(chuàng)建虛擬機(jī)后，我們需要為其分配一個(gè)系統(tǒng)分配身份，以便能夠獲得訪問(wèn) Key Vault 的權(quán)限：

az vm identity assign --name "myVM" --resource-group "myResourceGroup"

接下來(lái)，使用以下命令為該身份分配訪問(wèn) Key Vault 的權(quán)限：

az keyvault set-policy --name "myKeyVault" --object-id "" --secret-permissions get list

編寫(xiě) Python 應(yīng)用程序訪問(wèn) Key Vault 中的秘密

在虛擬機(jī)上，我們將編寫(xiě)一個(gè)簡(jiǎn)單的 Python 應(yīng)用程序以讀取 Key Vault 中的秘密。首先，連接到虛擬機(jī)，并安裝所需的 Python 庫(kù)：

sudo apt update && sudo apt upgrade -y
sudo apt install python3-pip
python3 -m pip install --upgrade pip
pip3 install azure-keyvault-secrets
pip3 install azure.identity

然后，創(chuàng)建一個(gè)名為 main.py 的 Python 應(yīng)用程序，該應(yīng)用程序?qū)⑹褂?Azure Key Vault SDK 來(lái)檢索秘密：

from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential

key_vault_name = "myKeyVault"
key_vault_uri = f"https://{key_vault_name}.vault.azure.net"
secret_name = "ExampleSecret"

credential = DefaultAzureCredential()
client = SecretClient(vault_url=key_vault_uri, credential=credential)
retrieved_secret = client.get_secret(secret_name)

print(f"The value of secret '{secret_name}' in '{key_vault_name}' is: '{retrieved_secret.value}'")

最后，運(yùn)行 main.py。如果一切正常，您將看到存儲(chǔ)在 Key Vault 中的秘密值被成功檢索并打印出來(lái)。

通過(guò)這種方式，您可以使用 Azure Key Vault 來(lái)安全地在虛擬機(jī)中管理和訪問(wèn)敏感信息，從而確保應(yīng)用程序的安全性和完整性。

通過(guò) AKS 集群訪問(wèn) Key Vault 中的秘密

在現(xiàn)代云環(huán)境中，安全地管理和訪問(wèn)機(jī)密信息至關(guān)重要。Azure Key Vault 提供了一種集中化的解決方案，能夠安全地存儲(chǔ)和管理機(jī)密。通過(guò) Azure Kubernetes Service (AKS)，您可以輕松地在容器化的應(yīng)用程序中訪問(wèn)這些機(jī)密。本文將指導(dǎo)您如何通過(guò) AKS 集群訪問(wèn) Azure Key Vault 中的機(jī)密。

創(chuàng)建 AKS 集群并啟用 Secrets Store CSI Driver

為了在 AKS 中訪問(wèn) Azure Key Vault 中的機(jī)密，首先需要?jiǎng)?chuàng)建一個(gè) AKS 集群，并啟用 Secrets Store CSI Driver。這一驅(qū)動(dòng)程序允許 Kubernetes 可以直接從 Azure Key Vault 中提取和管理機(jī)密。

首先，使用以下命令創(chuàng)建一個(gè)啟用了 Azure Key Vault Secrets Provider 插件的 AKS 集群：

az aks create -n myAKSCluster -g myResourceGroup --node-count 1 --enable-addons azure-keyvault-secrets-provider

該命令創(chuàng)建了 AKS 集群，并啟用了用于訪問(wèn) Azure 資源的 azureKeyvaultSecretsProvider 身份。請(qǐng)記錄輸出中的 clientId，它將在后續(xù)步驟中用于訪問(wèn) Key Vault。

接下來(lái)，驗(yàn)證安裝是否成功：

kubectl get pods -n kube-system -l 'app in (secrets-store-csi-driver,secrets-store-provider-azure)'

配置 SecretProviderClass 和測(cè)試 Kubernetes Pod

一旦 AKS 集群創(chuàng)建并配置好，下一步是創(chuàng)建 SecretProviderClass，以便將機(jī)密作為文件掛載到 Kubernetes Pod 中。

首先，創(chuàng)建一個(gè)名為 spc.yaml 的 YAML 文件，內(nèi)容如下：

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: azure-keyvault-secrets
spec:
  provider: azure
  parameters:
    usePodIdentity: "false"
    useVMManagedIdentity: "true"
    userAssignedIdentityID: 
    keyvaultName: 
    cloudName: ""
    objects:  |
      array:
        - |
          objectName: ExampleSecret
          objectType: secret
          objectVersion: ""
    tenantId: 

確保替換 YOUR-IDENTITY-ID、YOUR-KEYVAULT-NAME 和 YOUR-TENANT-ID 為您自己的值。然后應(yīng)用此配置：

kubectl apply -f spc.yaml

接下來(lái)，創(chuàng)建一個(gè)示例 Pod 來(lái)驗(yàn)證 SecretProviderClass 的配置。創(chuàng)建一個(gè)名為 pod.yaml 的文件：

kind: Pod
apiVersion: v1
metadata:
  name: busybox-secrets-store-inline
spec:
  containers:
    - name: busybox
      image: registry.k8s.io/e2e-test-images/busybox:1.29-1
      command:
        - "/bin/sleep"
        - "10000"
      volumeMounts:
      - name: secrets-store01-inline
        mountPath: "/mnt/secrets-store"
        readOnly: true
  volumes:
    - name: secrets-store01-inline
      csi:
        driver: secrets-store.csi.k8s.io
        readOnly: true
        volumeAttributes:
          secretProviderClass: "azure-keyvault-secrets"

應(yīng)用該配置文件：

kubectl apply -f pod.yaml

完成后，您可以驗(yàn)證機(jī)密是否成功掛載到 Pod 中：

kubectl exec busybox-secrets-store-inline -- cat /mnt/secrets-store/ExampleSecret

如果一切配置正確，您將看到從 Azure Key Vault 中檢索的機(jī)密值。這種方法保證了在 Kubernetes 環(huán)境中安全地管理和訪問(wèn) Azure Key Vault 中的機(jī)密，符合現(xiàn)代化的安全需求。

#你可能也喜歡這些API文章!

哈佛 Translation Company 推薦：如何選擇最佳翻譯服務(wù)

動(dòng)手學(xué)AI Agent：從理論到實(shí)踐的全面指南

go-resty最佳實(shí)踐

零基礎(chǔ)入門(mén)：ChatPromptTemplate快速上手指南

使用Google商店API管理商品詳情的完整指南

Java靜態(tài)代碼掃描詳解

Python數(shù)據(jù)圖：深度解析與應(yīng)用

知識(shí)圖譜搜索AI：技術(shù)與應(yīng)用

JSON 文件在線打開(kāi)指南