Tak, w usłudze Cash App występuje kilka rodzajów oszustw, w tym przerzucanie gotówki, przypadkowe płatności i wiadomości wyłudzające informacje. Oszustwa w usłudze Cash App są szkodliwe, ponieważ prowadzą do pozbawienia...
Zarządzanie wpisami tajnymi jest integralną częścią zabezpieczeń kontenerów. Kod aplikacji często zależy od wpisów tajnych infrastruktury, takich jak klucze API, hasła i tokeny dostępu. Zbyt często programiści i pracownicy DevOps zakodowują te wpisy tajne na stałe w obrazach kontenerów lub wprowadzają je w postaci zmiennych środowiskowych. Obie te metody sprawiają, że wpisy tajne są podatne na naruszenia. Ponadto kodowanie na stałe wpisów tajnych łączy proces zarządzania wpisami tajnymi z procesem tworzenia oprogramowania, co oznacza, że zmiana lub rotacja wpisów tajnych wymaga refaktoryzacji i ponownego wdrożenia kodu.
Chociaż Docker CLI zawiera polecenia zarządzania wpisami tajnymi, działają one tylko z klastrami Swarm, a nie autonomicznymi kontenerami. Aby obejść to ograniczenie, użytkownicy mogą definiować wpisy tajne w pliku Docker Compose za pośrednictwem pola „secrets” na najwyższym poziomie. Wymaga to jednak od administratorów przechowywania wpisów tajnych w plikach konfiguracyjnych (tj. zwykłych plikach tekstowych), które są podmontowane w kontenerach i odczytywane przez aplikacje. Jeśli pliki te są objęte kontrolą źródła, każdy mający dostęp do repozytorium może uzyskać do nich dostęp.
Oprócz tego, że przechowywanie wpisów tajnych Docker w plikach tekstowych jest niebezpieczne, przyczynia się do ich nadmiernego rozprzestrzeniania – scenariusza, w którym wpisy tajne infrastruktury są przechowywane w całej sieci, bez określonego porządku. Może to nie wydawać się problemem, gdy organizacja ma stosunkowo niewielką liczbę wpisów tajnych, ale wraz z rozwojem firm wpisy tajne infrastruktury mnożą się wykładniczo. Na przykład same klucze SSH mogą być liczone w tysiącach.
Bezpieczne tajne wpisy Docker bez trybu Swarm – lub rozprzestrzeniania się danych
Keeper Secrets Manager (KSM), pierwsze i jedyne oparte na chmurze rozwiązanie typu Zero-Trust i Zero-Knowledge do zabezpieczania wpisów tajnych infrastruktury, umożliwia programistom i pracownikom DevOps łatwe zabezpieczenie wpisów tajnych Docker wraz z wszystkimi innymi wpisami tajnymi infrastruktury, zwiększając bezpieczeństwo kontenerów, jednocześnie eliminując rozprzestrzenianie się wpisów tajnych po całym środowisku danych.
KSM oferuje programistom i zespołom DevOps trzy podstawowe metody zabezpieczania wpisów tajnych Docker.
1. Budowanie obrazu za pomocą wpisów tajnych przy użyciu BuildKit
Przy użyciu rozwiązania Docker BuildKit wpisy tajne z Keeper Vault można wbudować w kontener Docker. Począwszy od wersji Docker 18.09, budowanie obrazów obsługuje możliwość wprowadzania wpisów tajnych za pośrednictwem zamontowanego systemu plików. Pomyśl o tej metodzie jak o pieczeniu ciasta, które ma wpisy tajne bezpiecznie zapieczone w środku. Aby uzyskać więcej informacji i pomocny przykład, zobacz naszą dokumentację, w której pokazujemy tę metodę, tworząc konto użytkownika na obrazie docelowym z nazwą użytkownika i hasłem z Keeper Secrets Manager.
2. Budowanie obrazu z wpisami tajnymi przy użyciu argumentów budowania
Opierając się na analogii ciasta w metodzie 1, ta metoda jest jak pieczenie dynamicznego ciasta, które może „zadzwonić” do magazynu i bezpiecznie pobrać potrzebne wpisy tajne w czasie działania.
W tej metodzie wpisy tajne są wprowadzane za pomocą polecenia –build-arg. Wystarczy ustawić zmienne środowiskowe z notacją Keeper dla potrzebnych wpisów tajnych i użyć polecenia ksm exec, aby utworzyć obraz Docker z potrzebnymi wpisami tajnymi. Zobacz naszą dokumentację, aby uzyskać więcej informacji i inny pomocny przykład.
3. Użyj obrazu KSM Docker Writer
KSM Docker Writer, obraz Docker ogólnego przeznaczenia, upraszcza zabezpieczenia wpisów tajnych Docker, automatycznie pobierając tajne pliki i generując plik zawierający wpisy tajne. Obraz KSM Docker Writer można pobrać poprzez uruchomienie następującego polecenia CLI:
$ docker pull keeper/keeper-secrets-manager-writer
Podczas uruchamiania jego parametry są uwzględniane za pośrednictwem zmiennych środowiskowych.
$ docker run \
-v $PWD:/wd –workdir /wd \
-e „KSM_CONIFG=BASE64 CONFIG” \
-e „SECRETS=JfXpSQ2nZG6lkdl1rxB0dg/file/example.crt >
file:example.crt”
keeper/keeper-secrets-manager-writer
Korzystając z KSM Docker Writer, cały kod źródłowy w obrazach Docker pobiera wpisy tajne z bezpiecznego punktu końcowego API, a nie pliku tekstowego! Każdy wpis tajny jest zaszyfrowany za pomocą 256-bitowego klucza AES, a następnie jest szyfrowany przez inny klucz aplikacji AES-256. Urządzenie klienckie pobiera zaszyfrowany tekst z chmury Keeper, a wpisy tajne są deszyfrowane i wykorzystywane lokalnie na urządzeniu – nie na serwerach Keeper. Ponadto wszystkie zapytania do serwera są dodatkowo szyfrowane kluczem transmisji AES-256 oprócz TLS, aby zapobiec atakom MITM lub atakom metodą powtórzenia. Ta wielowarstwowa kryptografia jest obsługiwana w przejrzysty sposób za pośrednictwem zestawów SDK usługi Keeper po stronie klienta, które można łatwo zintegrować z dowolnym środowiskiem.
Dobrym przykładem korzystania z obrazu KSM Docker Writer jest integracja z narzędziami do orkiestracji, takimi jak Kubernetes i Docker Compose. Obraz KSM może pobrać wpisy tajne potrzebne podczas inicjalizacji, a następnie udostępnić je innym kontenerom, które są od nich zależne. Przykład dostarczony przy użyciu Docker Compose w naszej dokumentacji używa współdzielonego wolumenu do przechowywania wpisów tajnych.
Użyj KSM do zabezpieczenia wszystkich wpisów tajnych Twojej infrastruktury
Wartość użytkowa KSM nie kończy się na Docker lub kontenerach. KSM chroni wpisy tajne wykorzystywane przez kod źródłowy w całym ekosystemie IT organizacji, a także na serwerach, w procesach CI/CD i środowiskach programistycznych. Ponadto, ponieważ KSM jest naturalnym rozszerzeniem najlepiej ocenianego menedżera haseł biznesowych Keeper (EPM), jest on w pełni zintegrowany z magazynem Web, aplikacją desktopową i konsolą administratora Keeper. KSM bezproblemowo integruje się również z modułem zaawansowanego raportowania i alertów (ARAM) funkcją BreachWatch, Webhooks, integracją SIEM i narzędziami do zapewniania zgodności Keeper.
Używanie KSM zamiast zapisywania wpisów tajnych w kodzie źródłowym, używania zmiennych środowiskowych lub plików konfiguracyjnych eliminuje rozprzestrzenianie się wpisów tajnych, znacznie zmniejsza ryzyko niezamierzonego naruszenia wpisów tajnych i przechowuje wpisy tajne infrastruktury w EPM typu Zero-Knowledge usługi Keeper. Daje to administratorom i pracownikom DevOps takie same korzyści i kontrolę w zakresie tajnych wpisów infrastruktury, jakie Keeper zapewnia im w zakresie haseł. Obejmują one uproszczoną rotację wpisów tajnych, kontrolę dostępu opartą na rolach (RBAC) i integrację z dodatkami, takimi jak BreachWatch, który skanuje dark web w poszukiwaniu naruszonych danych uwierzytelniających i powiadamia administratorów IT, jeśli je wykryje.
Keeper Secrets Manager jest w pełni zarządzany i wykorzystuje nową architekturę zabezpieczeń oczekującą na opatentowanie. W przeciwieństwie do konkurencyjnych rozwiązań do zarządzania wpisami tajnymi KSM integruje się z praktycznie każdym środowiskiem danych, bez konieczności dodatkowego sprzętu lub infrastruktury hostowanej w chmurze, a także z gotowymi integracjami z szeroką gamą narzędzi DevOps, w tym GitHub Actions, Kubernetes, Ansible i innymi.
Nie jesteś jeszcze klientem Keeper? Zarejestruj się, aby skorzystać z bezpłatnej 14-dniowej wersji próbnej już teraz! Chcesz dowiedzieć się więcej o tym, jak Keeper może pomóc Twojej firmie w zapobieganiu naruszeniom bezpieczeństwa? Skontaktuj się z naszym zespołem już dziś.