在开放网络上建立Hashicorps保险库的思考

Question

我正在几个使用只读而不是真正重要的API键的不同平台上进行大量的测试/数据抓取项目。只有当他们离开我才能预见到最小的伤害。

这么说吧，我看不出有什么明显的原因让金库无法安全地分配它们，我用vault在经过徽章的时候会错过这样的风险吗？

Answer 1

一个考虑因素是潜在的现金溢出攻击。如果攻击者可以访问您的私有API密钥，其功能如下：

• 请求API
• API记录请求并向您的帐户收取1/200次使用费用
• 每次超过200次使用都要花费0.05美元。

攻击者会让你陷入这样的财务问题。请参阅：https://www.owasp.org/index.php/Cash_溢出

其他一些滥用APIs的案例可以在这里找到：https://www.owasp.org/index.php/Category:API_滥用职权

建议？我强烈推荐AWS机密管理器或Azure机密计算。它们可以以不同的方式对API密钥的安全性提供不同级别的保证。

https://aws.amazon.com/secrets-manager/ -通过提供一个API，您可以使用FIPS兼容的加密来安全地存储其他API密钥，然后您只需要保护您的机密管理器密钥/api信息。

https://azure.microsoft.com/en-us/solutions/confidential-compute/ -通过计算TEE (可信执行环境)中的安全操作来工作，TEE是一种加密安全和逻辑分离的处理单元。

Answer 2

假设您计划在Vault上对公共Internet进行访问，并且启用了审计日志记录：

考虑基于磁盘空间的拒绝服务。

如果您启用了Vault的审计日志记录，Vault将记录每个请求，包括那些身份验证失败的请求。金库将破解那些请求中可能存在的任何秘密，但将任何非秘密(如在Vault的密钥/值存储中的条目的密钥)单独保留。

如果您使用的是file审核设备，这些日志将被写入文件。如果攻击者试图多次将秘密{"(insert ten megabytes of noise here)":"1"}写入Vault，则可能会耗尽磁盘空间。

缓解:配置您的审核设备(S)(和任何辅助架构)，以便至少有一个审核设备不会阻塞。例如，使用最大文件大小配置logrotate。