脚本之家 服务器常用软件
快捷导航
您的位置:首页脚本专栏Golang → Go Vault敏感信息保护

Golang基于Vault实现敏感信息保护

 更新时间:2023年06月27日 14:17:02   作者:Shawn27  
Vault 是一个强大的敏感信息管理工具,自带了多种认证引擎和密码引擎,本文主要探讨应用程序如何安全地从 Vault 获取敏感信息,并进一步实现自动轮转,感兴趣的可以了解一下

背景

在应用程序的配置中,有一类信息比较敏感,比如数据库的用户名/密码、云平台的 AK/SK、各种 API keys、各类账号/密码等,这些信息的泄露会带来严重的安全问题。

然而在实际生产活动中,这些敏感信息的管理有很大的漏洞,存在很大的泄露风险:

  • 代码或配置以明文形式记录敏感信息,存放在代码仓库中,甚至误上传到 GitHub;
  • 敏感信息的生成、分发、保管、部署全流程经多人之手,缺乏有效的管控手段;
  • 敏感信息生成之后长期有效,没有自动轮转机制,加大了泄露风险及影响程度。

敏感信息保护是网络安全工作的一个重要部分。

敏感信息保护

敏感信息保护是一个比较复杂的系统性工作,主要包括以下几个部分:

  • 要有一个专门的平台来托管敏感信息,本文采用 HashiCorp 公司开源的 Vault 工具
  • 应用程序要与该平台集成,从平台获取敏感信息,并完成续租和轮转等操作
  • 部署工具要与该平台集成,为应用程序注入登录平台所需的身份凭据

Vault 是一个强大的敏感信息管理工具,自带了多种认证引擎和密码引擎,并通过插件机制允许自定义引擎,可应用于多种常见的敏感信息保护场景,具体用法本文不做介绍,请参考Vault官方文档。至于部署发布工具与 Vault 的集成,与所使用的部署工具及发布流水线有关,每个公司不尽相同,本文也不做详细展开。

本文主要探讨应用程序与 Vault 的集成,以数据库凭据为例,介绍应用程序如何安全地从 Vault 获取敏感信息,并进一步实现自动轮转。

应用集成方案

应用程序与 Vault 的集成可以采用直接方式,即开发者自行编写代码实现登录认证、Token 续租、过期再登录以及敏感信息的获取、续租和轮转等逻辑,这种集成方式对应用程序有较多的代码侵入,实现成本较高。

Vault 官方提供了一种对应用程序代码低侵入甚至无侵入的集成方案,即 Vault Agent,它实现了与 Vault Server 的所有交互逻辑,并且还可以通过模板功能将获取的敏感信息渲染成本地配置文件,应用程序只需要读取该配置文件即可。

本文采用基于 Agent 的间接集成方案:Agent 负责登录 Vault 并管理 Token 续租及过期再登录,根据配置模板文件从 Vault 获取所需的敏感信息,渲染成本地配置文件,管理敏感信息的续租及轮转,并更新本地配置文件;应用程序只需读取本地配置文件获取敏感信息,并持续监听该文件,当文件变化时进行动态更新。这是一种完全解耦的间接集成方式,如下图所示。

准备工作

1. 创建具有 CRUD 权限的数据库角色

# 首先启用数据库密码引擎
$ vault secrets enable database
# 创建 MySQL 数据库配置
$ export MYSQL_URL=x.x.x.x:3306
$ vault write database/config/mydb \
    plugin_name=mysql-database-plugin \
    connection_url="{{username}}:{{password}}@tcp($MYSQL_URL)/" \
    allowed_roles="mydb-crud" \
    username="root" \
    password="******"
# 说明:该用户需要具有用户管理权限,此处直接使用 root
# 创建 mydb-crud 角色(具有增删改查完整权限)
$ vault write database/roles/mydb-crud \
    db_name=mydb \
    creation_statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}'; GRANT SELECT, INSERT, DELETE, UPDATE ON mydb.* TO '{{name}}'@'%';" \
    default_ttl="2m" \
    max_ttl="10m"
# 说明:为方便测试,此处 TTL 设置较小,实际使用时需要评估合理的值
# 测试获取 mydb-crud 角色的凭据,并查看验证
$ vault read database/creds/mydb-crud
$ vault list sys/leases/lookup/database/creds/mydb-crud

2. 创建具有上述数据库权限的 AppRole

# 启用 Approle 认证引擎
$ vault auth enable approle
# 创建权限策略 mydb-policy
$ vault policy write mydb-policy -<<EOF
#获取凭据的权限
path "database/creds/mydb-crud" {
  capabilities = [ "read" ]
}
#续租凭据的权限
path "sys/leases/+/database/creds/mydb-crud/*" {
  capabilities = [ "update" ]
}
EOF
# 创建具有 mydb-policy 权限的 AppRole
$ vault write auth/approle/role/myapp token_policies="mydb-policy" \
    token_ttl=2m token_max_ttl=10m
# 查看创建的 AppRole
$ vault read auth/approle/role/myapp

3. 获取 AppRole 身份凭据( RoleID 和 SecretID )

# 获取 RoleID
$ vault read -field=role_id auth/approle/role/myapp/role-id >~/.roleid
# 获取 SecretID
$vault write -f -field=secret_id auth/approle/role/myapp/secret-id >~/.secretid

然后由部署发布工具将 RoleID 和 SecretID 注入到应用程序所在服务器的约定位置文件中。

登录认证

Agent 的 Auto_Auth 功能实现了登录认证、Token 续租和过期再登录等逻辑,允许指定认证方法和 Token 保存位置。这里采用 AppRole 认证,需要指定 RoleID 和 SecretID 两个文件的位置(由部署发布工具注入)。

auto-auth 配置块如下所示:

auto_auth {
  method {
    type   = "approle"
    config = {
      role_id_file_path = "/vault/config/approle/roleid"
      secret_id_file_path = "/vault/config/approle/secretid"
      remove_secret_id_file_after_reading = false
    }
  }
  sink "file" {
      config = {
          path = "/tmp/.vault-token-via-agent"
      }
  }
}

获取数据库凭据

Agent 的 Template 功能可以根据指定位置的模板文件获取所需的敏感信息,填充、渲染成配置文件,保存在指定位置,当渲染出的结果文件发生变化时还可以执行给定的命令。

template 相关的配置块如下所示:

template_config {
  exit_on_retry_failure = true
}
template {
  error_on_missing_key = true
  source = "/vault/config/appconf/config.ctmpl"
  destination = "/vault/config/appconf/config.yaml.tmp"
  exec {
    command = ["dd", "if=/vault/config/appconf/config.yaml.tmp", "of=/vault/config/appconf/config.yaml" ]
    timeout = "5s"
  }
}

配置模板文件config.ctmpl通过模板语言指定敏感信息的占位符及获取路径,经 Agent 渲染后生成应用程序能识别的配置文件config.yaml。配置模板文件的相关片段如下所示:

# config.ctmpl
database:
  mysql:
    {{- with secret "database/creds/mydb-crud" }}
    username: {{ .Data.username }}
    password: {{ .Data.password }}
    {{- end }}
    address : x.x.x.x:3306
    dbname  : mydb
    options : charset=utf8mb4&parseTime=True&loc=Local

应用程序读取本地配置文件config.yaml即可获取数据库凭据,不需要与 Vault 进行交互,实现了与 Vault 的完全解耦。

使用数据库凭据

关于 Golang 应用程序如何读取配置文件可以参考《浅谈Golang配置管理》这篇文章。

这里仅给出使用数据库凭据相关的代码片段,如下:

var (
    mysqlUsername string
    mysqlPassword string
    mysqlAddress  string
    mysqlDBname   string
    mysqlOptions  string
)
func initConfig() {
    mysqlUsername = Config.Database.MySQL.Username
    mysqlPassword = Config.Database.MySQL.Password
    mysqlAddress = Config.Database.MySQL.Address
    mysqlDBname = Config.Database.MySQL.DBname
    mysqlOptions = Config.Database.MySQL.Options
}
func connectMySQL() (*gorm.DB, error) {
    msyqlDSN := fmt.Sprintf("%s:%s@tcp(%s)/%s?%s", mysqlUsername,
        mysqlPassword, mysqlAddress, mysqlDBname, mysqlOptions)
    return gorm.Open(mysql.Open(msyqlDSN), &gorm.Config{})
}

数据库凭据自动轮转

Agent 从 Vault 获取数据库凭据后,会在其TTL到期前进行续租,当因Max-TTL限制无法续租时,会自动轮转,重新获取一组新的凭据,并更新在本地配置文件中。

应用程序监听到本地配置文件的变化时,需要读取新的凭据,并进行动态加载。配置动态更新的具体方法可以参考《浅谈Golang配置管理》这篇文章。

这里仅给出配置动态加载相关的示例代码,如下:

var db *gorm.DB
var dbLocker sync.Mutex
func reconnectMySQL() {
    // get new mysql creds
    creds := getNewMySQLCreds()
    if creds.Username == mysqlUsername && creds.Password == mysqlPassword {
        log.Println("MySQL creds not changed, skip mysql reconnection.")
        return
    }
    dbLocker.Lock()
    defer dbLocker.Unlock()
    // re-connect mysql with new creds
    mysqlUsername = creds.Username
    mysqlPassword = creds.Password
    d, err := connectMySQL()
    if err != nil {
        log.Println("MySQL connect failed:", err)
        return
    }
    // setupDatabase(d)
    db = d
}

说明:上述示例代码通过重建gorm.DB对象来更新数据库凭据,是一种可行的方式,但是比较粗暴,会导致连接重建,在业务高峰期时可能会影响服务性能,在生产上建议寻求更优雅、平滑的实现方式。大家有好的实现或思路可以在评论区留言分享。

总结

本文探讨了基于 Vault 的敏感信息保护方案,重点介绍了应用程序通过 Agent 与 Vault 间接集成的方法,以数据库凭据为例,具体说明了应用程序如何安全地从 Vault 获取敏感信息,并进一步实现自动轮转。

以上就是Golang基于Vault实现敏感信息保护的详细内容,更多关于Go Vault敏感信息保护的资料请关注脚本之家其它相关文章!

您可能感兴趣的文章:

相关文章

  • 浅谈Golang的GC垃圾回收机制

    浅谈Golang的GC垃圾回收机制

    本文介绍了Go语言的垃圾回收机制,通过使用对象池、减少短生命周期对象的创建和优化内存布局等方法,可以有效地减少GC压力,提高程序的性能,感兴趣的可以了解一下
    2024-11-11
  • GO中的条件变量sync.Cond详解

    GO中的条件变量sync.Cond详解

    条件变量是基于互斥锁的,它必须基于互斥锁才能发挥作用,条件变量的初始化离不开互斥锁,并且它的方法有点也是基于互斥锁的,这篇文章主要介绍了GO的条件变量sync.Cond,需要的朋友可以参考下
    2023-01-01
  • go语言中GoMock的实现

    go语言中GoMock的实现

    GoMock是一个Go框架,它与内置的测试包整合得很好,并在单元测试时提供了灵活性,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2025-11-11
  • Go语言高效I/O并发处理双缓冲和Exchanger模式实例探索

    Go语言高效I/O并发处理双缓冲和Exchanger模式实例探索

    这篇文章主要介绍了Go语言高效I/O并发处理双缓冲和Exchanger模式实例探索,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2024-01-01
  • Golang开发中常用的代码片段汇总

    Golang开发中常用的代码片段汇总

    这篇文章主要给大家汇总了在Golang开发中常用的代码片段,这些代码片段都是在日常工作中编写golang应用时使用到,需要的朋友可以参考借鉴,下面跟着小编一起来学习学习吧。
    2017-07-07
  • Go channel实现原理分析

    Go channel实现原理分析

    Channel是go语言内置的一个非常重要的特性,也是go并发编程的两大基石之一,下面这篇文章主要给大家介绍了关于Go中channel的相关资料,需要的朋友可以参考下
    2023-04-04
  • go语言中bufferio字段的实现

    go语言中bufferio字段的实现

    Go语言的bufio包通过缓冲区减少系统调用,提升I/O效率,它封装Reader和Writer接口,提供Read/Write等高效方法,具有一定的参考价值,感兴趣的可以了解一下
    2025-06-06
  • 线上问题排查之golang使用json进行对象copy

    线上问题排查之golang使用json进行对象copy

    这篇文章主要介绍了线上问题排查之golang使用json进行对象copy,文章围绕golang使用json进行对象copy的内存溢出问题排查展开详细内容需要的小伙伴可以参考一下
    2022-06-06
  • golang 如何替换掉字符串里面的换行符\n

    golang 如何替换掉字符串里面的换行符\n

    这篇文章主要介绍了golang 替换掉字符串里面的换行符\n操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2021-03-03
  • Golang第三方库robfig/cron定时器库用法小结

    Golang第三方库robfig/cron定时器库用法小结

    robfig/cron是Golang生态中最常用的定时器库之一,实现了标准的Unix Cron表达式解析与任务调度功能,本文就来详细的介绍一下第三方库robfig/cron定时器库用法,感兴趣的可以了解一下
    2026-04-04

最新评论