АВС Secrets Manager омогућава вам да на сигуран начин складиштите све своје акредитиве, податке, лозинке и друге поверљиве информације.
Сајбер напади су у порасту широм света, са циљем крађе поверљивих података и финансијских средстава, што наноси значајну штету организацијама.
Из тог разлога, неопходно је користити поуздане сервисе попут Secrets Manager-а, који може ефикасно заштитити ваше информације.
У овом тексту, размотрићемо АВС Secrets Manager и његове предности за вас.
Почнимо!
Шта је АВС Secrets Manager?
АВС Secrets Manager представља алатку која корисницима помаже у управљању, ротацији и преузимању њихових тајних података, попут лозинки, API кључева, акредитива за базе података и апликације, током њиховог животног циклуса.
Тајна се овде односи на поверљиве и вредне информације ваше организације које желите да заштитите. То може бити било шта од корисничког имена и лозинке, преко OAuth токена и АВС акредитива, до SSH кључева, кључева за енкрипцију, сертификата, приватних кључева и много тога.
Основна сврха АВС Secrets Manager-а је да управља и штити информације које се користе за приступ ИТ ресурсима, сервисима, апликацијама и системима. Чува и управља тајнама на централизованом месту, олакшавајући легитимним корисницима приступ без потребе за компликованим кодом.
АВС Secrets Manager вам омогућава да вршите ротацију тајних информација у различитим АВС сервисима као што су Redshift, RDS и DocumentDB. Ово осигурава да су сви кључеви и акредитиви за базе података стално ажурирани у свим овим сервисима. Поред тога, ротацију тајни можете обавити на захтев или по унапред дефинисаном распореду користећи уграђену конзолу алата, AWS SDK или AWS CLI.
Штавише, АВС Secrets Manager пружа унапређену контролу података и снажну енкрипцију за њихову заштиту. Такође, омогућава вам да надгледате своје заштићене информације и вршите њихову ревизију помоћу различитих доступних интеграција.
Најчешће га користе велика предузећа, с обзиром на обим пословања, као и софтверске компаније, посматрано према типу индустрије.
АВС Secrets Manager: Кључне карактеристике
#1. Чување и управљање тајним информацијама
Поред самог складиштења, Secrets Manager вам омогућава лако управљање тајнама. За рад са подацима на платформи, можете извршити различите акције:
- Креирање тајни и база података
- Измена тајних информација
- Проналажење тајни
- Брисање тајни које вам више нису потребне
- Враћање изгубљених или обрисаних тајни
- Реплицирање тајни у други АВС регион
- Промовисање реплициране тајне у засебну тајну у оквиру АВС Secrets Manager-а
Можете да сачувате своје акредитиве на платформи након креирања налога у Amazon Aurora, Amazon RDS, Amazon DocumentDB или Amazon Redshift. То можете урадити помоћу конзоле Secrets Manager-а, AWS SDK-а или AWS CLI-а.
#2. Висок ниво безбедности
АВС Secrets Manager користи јаку енкрипцију како би заштитио све ваше тајне од неовлашћеног приступа. Он врши енкрипцију ваших тајни помоћу кључева из AWS Key Management Service (KMS).
Secrets Manager користи AWS Identity and Access Management (IAM) како би корисници могли безбедно приступити својим тајним информацијама. Обезбеђује напредне контроле приступа и аутентификацију.
- Аутентификација се користи за верификацију идентитета корисника који је поднео захтев. Идентификација се врши кроз процес пријављивања који захтева вишефакторску аутентификацију (MFA), приступне кључеве и лозинке.
- Контрола приступа осигурава да одобрени корисници могу извршавати само одређене операције над тајнама.
Поред тога, Secrets Manager користи политике које дефинишу који корисници могу приступити којим ресурсима и које акције над тајнама или ресурсима могу извршити. Омогућава вам да користите AWS IAM улоге било где и добијете привремене акредитиве у IAM-у за сервере, апликације, контејнере и друге радне процесе којима АВС недостаје.
Такође, можете применити исте IAM улоге и политике за ваше радне процесе које сте креирали за AWS апликације како би приступили ресурсима на AWS-у и локалним уређајима (као што су сервери апликација).
#3. Ротација тајних информација
АВС Secrets Manager омогућава вам да ротирате тајне према распореду или на захтев, без прекидања рада или реконфигурације ваших активних апликација.
Ротација тајни се односи на процес периодичног ажурирања тајних информација организације. Приликом ротирања тајне, потребно је ажурирати податке или акредитиве у самој тајни, као и у сервису или бази података. Такође, омогућава вам да аутоматизујете ротацију тајни и уштедите време постављањем аутоматске ротације преко конзоле и AWS CLI-а.
За ажурирање тајне, АВС Secrets Manager користи AWS Lambda функцију и позива је на основу дефинисаног распореда. Потребно је подесити распоред за ротацију након одређеног периода, на пример 30 или 90 дана. То се може постићи и креирањем cron израза.
Поред тога, Secrets Manager може да означи верзију тајне током ротације користећи ознаке за постављање. Може позвати функцију више пута током ротације, прослеђујући различите параметре.
Ево како можете ротирати тајну:
- Креирајте нову верзију тајне. Она може садржати ново корисничко име и лозинку, заједно са другим тајним подацима.
- Промените постојеће акредитиве у сервису или бази података. Они ће одговарати новим акредитивима у новој верзији тајне. У зависности од стратегије ротације коју примењујете, креираће се нови корисник са истим дозволама приступа као и постојећи.
- Тестирајте новостворену верзију тајне омогућавајући јој приступ сервису или бази података. У зависности од типа приступа који захтевају ваше апликације, можете омогућити приступ за читање и писање.
- Извршите ротацију тако што ћете пребацити нову верзију са старе на нову верзију тајне. Задржите стару верзију и додајте је као претходну верзију како бисте избегли потпуни губитак тајне.
#4. Надзор тајних информација
Будући да се пропусти и неефикасности могу десити у било ком тренутку, важно је да надгледате своје тајне и предузмете потребне кораке када је још увек времена. АВС Secrets Manager вам омогућава надзор података помоћу алата за праћење и тренутно пријављивање у случају било каквих проблема.
Можете користити дневнике за истраживање неочекиваних промена или употребе. Уколико их пронађете, можете вратити нежељене промене и преузети претходну верзију. Такође, можете конфигурисати аутоматске провере за откривање покушаја брисања тајне или неодговарајуће употребе.
Ево шта добијате са надзором тајни:
- Бележење догађаја помоћу AWS CloudTrail: AWS CloudTrail може бележити API позиве као догађаје са конзоле ради ротације и брисања тајни. Приказује вам забележене догађаје у последњих 90 дана. Такође, можете подесити CloudTrail да испоручује датотеке дневника директно у Amazon S3 bucket из више АВС региона и налога.
- Надзор помоћу CloudWatch-а: Са CloudWatch-ом можете лако надгледати своје тајне омогућавајући му прикупљање и обраду сирових података у читаљиве метрике у реалном времену. Подаци се чувају 15 месеци ради процене учинка вашег сервиса или апликације.
- Упаривање догађаја помоћу EventBridge-а: Уз EventBridge, можете упаривати догађаје из AWS CloudTrail датотека дневника. Да бисте то постигли, конфигуришите правила која траже догађаје и шаљу нови догађај како бисте предузели акцију ка одредишту.
- Надзор планираних брисања тајни: Комбиновањем Amazon CloudWatch дневника, Simple Notification Service (SNS) и CloudTrail-а, можете подесити аларме за обавештење у случају било каквог неовлашћеног покушаја брисања тајне.
По пријему аларма, имаћете времена да размислите да ли заиста желите да избришете тајну или да зауставите процес брисања. Алтернативно, можете омогућити кориснику да користи нову тајну и дати му потребне дозволе приступа.
#5. Интеграције
АВС Secrets Manager се интегрише са великим бројем других Amazon и AWS алата, укључујући Alexa for Business, AWS App2Container, App Runner, Amazon AppFlow, AWS AppConfig, Amazon Athena, Amazon DocumentDB, AWS DataSync, AWS CodeBuild, Amazon ElastiCache, Amazon EMR, AWS Elemental Live, Amazon QuickSight, Amazon Redshift, AWS Migration Hub, Amazon RDS и многе друге.
Зашто користити AWS Secrets Manager
Побољшана безбедносна позиција
Secrets Manager вам омогућава побољшање безбедносне позиције ваше организације јер не захтева чврсто кодиране акредитиве у изворном коду ваше апликације. Чувањем акредитива у Secrets Manager-у, избегавате безбедносне компромисе од стране некога ко може приступити апликацији или њеним компонентама.
Опоравак од катастрофе
Несрећа може задесити вашу организацију у било ком тренутку, попут сајбер упада. Ово може довести до губитка важних информација, лозинки, акредитива и података, или можете изгубити податке због случајног брисања.
Коришћењем ове алатке, можете да замените чврсто кодиране акредитиве позивом у runtime-у у AWS Secrets Manager како бисте динамички преузели акредитиве када су вам потребни.
Смањени ризици
Secrets Manager омогућава вам да конфигуришете распоред ротације, тако да се тајне могу аутоматски ротирати када за то дође време. На тај начин, можете заменити дугорочне тајне краткорочним, што помаже у смањењу ризика од безбедносних пропуста.
Поред тога, ротација акредитива не захтева ажурирање апликације или модификацију клијената апликације, јер акредитиви се не чувају у самој апликацији.
Испуњавање услова усклађености
Са растућим ризицима по безбедност и приватност, регулаторна тела као што су GDPR и HIPAA захтевају од организација да се придржавају стандарда усклађености како би осигурале безбедно руковање подацима клијената и пословним подацима. Стога, користите само апликације или сервисе који су безбедни и усклађени са важећим прописима.
Са AWS Secrets Manager, можете надгледати своје тајне ради откривања безбедносних рањивости или ризика који могу угрозити ваше податке и благовремено предузети акције. Ово штити ваше пословне и клијентске информације, што је од виталног значаја за одржавање усклађености. Такође, можете боље припремити ревизије тако што ћете све документовати.
Штавише, можете искористити AWS Config за процену тајни и њихове усклађености са интерним политикама, прописима и смерницама ваше организације. То вам омогућава да дефинишете захтеве усклађености и интерне контроле за тајне и да идентификујете оне које нису усклађене.
Побољшане контроле
Добијате бољу контролу над својим тајнама, системима и другим подацима помоћу детаљних политика и контрола приступа. АВС IAM осигурава да праве особе имају одговарајући ниво дозвола за приступ правим ресурсима. Администратори могу да креирају или бришу налоге, дозвољавају или ограничавају приступ корисницима, додају или уклањају чланове и извршавају многе друге радње према потреби.
AWS Secrets Manager: Како га подесити и користити
Ево како можете подесити и користити АВС Secrets Manager:
- Подесите свој АВС налог уношењем потребних детаља.
- Пријавите се на свој АВС налог.
- Идите на конзолу АВС Secrets Manager.
- Пронађите опцију „Сачувај нову тајну“ и кликните на њу да бисте креирали и сачували своју тајну.
Како креирати и сачувати нову тајну
Да бисте креирали тајну у Secrets Manager-у, потребна вам је дозвола од смернице SecretsManagerReadWrite. Када се креира тајна, Secrets Manager ће генерисати унос у CloudTrail дневник.
Пратите следеће кораке да бисте сачували своје приступне токене, API кључеве и акредитиве у AWS Secrets Manager-у:
Извор: Stack Overflow
Видећете страницу „Изаберите тип тајне“. Затим извршите следеће кораке:
- Изаберите „Други тип тајне“ за тип тајне коју желите да креирате.
- Видећете парове кључ/вредност. Унесите тајну у парове кључ/вредност у JSON-у. Алтернативно, изаберите картицу Plaintext и унесите тајну у формату по вашем избору. Могуће је чувати тајне до 65.536 бајтова.
- Изаберите АВС KMS кључ који Secrets Manager користи за шифровање тајне. У већини случајева можете користити aws/secretsmanager за коришћење управљаног кључа. То не подразумева никакве трошкове.
- Да бисте приступили тајни са другог АВС налога или користили сопствени KMS кључ за омогућавање ротације или примену политике за кључ, изаберите „Додај нови кључ“ или са дате листе изаберите кључ којим управља корисник. Међутим, кључ којим управља корисник се наплаћује.
- Изаберите „Даље“.
- Унесите име тајне и опис. Име мора садржати 1-512 Unicode знакова.
- У одељку „Ознаке“ можете додати ознаке тајни. Такође, можете омогућити политику ресурса изабиром опције „Измени дозволе“.
- Поред тога, могуће је реплицирати тајну у други AWS регион изабиром опције „Реплицирај тајну“. Ови кораци су опциони.
- Изаберите „Даље“.
Поред конзоле, можете додати тајну и преко AWS SDK-а и AWS CLI-а.
AWS Secrets Manager у поређењу са AWS Parameter Store
AWS Parameter Store је алатка за управљање апликацијама од стране AWS Systems Manager-а (SSM), која омогућава корисницима да креирају параметар кључ/вредност. Он може да чува конфигурације апликација, акредитиве, кључеве производа и прилагођене променљиве окружења.
С друге стране, AWS Secrets Manager је сервис који вам омогућава да креирате, чувате, управљате, преузимате и ротирате акредитиве, кључеве, API токене итд.
Оба сервиса имају сличне интерфејсе где можете једноставно декларисати парове кључ/вредност за тајне и параметре. Међутим, разликују се у следећим аспектима:
| AWS Secrets Manager | AWS Parameter Store | |
| Величина складишта | Складишти тајне до 10 KB | Чува до 4096 карактера или 4 KB за унос, и може ићи до 8 KB за напредне параметре. |
| Цена | 0.40 USD по тајни месечно | Бесплатно за стандардне параметре, 0.05 USD/10,000 API позива за напредне параметре. |
| Ротација | Омогућава аутоматску ротацију било које тајне у било ком тренутку. | Не нуди аутоматску ротацију; намењен за поверљиве податке који захтевају енкрипцију, а самим тим и ограничену употребу. |
| Намена | Широк опсег употребе, јер можете складиштити различите типове акредитива, укључујући променљиве конфигурације апликација, кључеве производа, URL адресе итд. | Углавном намењен за повељриве податке који захтевају енкрипцију |
Закључак
Без обзира да ли сте из малог, средњег или великог предузећа, можете користити AWS Secrets Manager за креирање и чување својих тајних информација. Он нуди унапређену безбедност, приватност, контролу приступа, функције и могућности за заштиту ваших тајни од неовлашћеног приступа.
Такође, можете истражити како да извршите AWS безбедносно скенирање и надзор конфигурације.