Secretless Broker是一个开源连接代理,它消除了客户端应用程序在访问数据库、Web服务、SSH端点或其他基于TCP的系统等目标服务时管理机密的需要。
无秘密经纪人功能
“我们创建了Secretless Broker来解决秘密交付中的“最后一英里”问题。虽然许多工具处理秘密存储和检索,但应用程序如何安全地使用这些秘密仍然存在差距。CyberArk的员工软件工程师Kumbirai Tanekha告诉Help Net Security,该工具旨在缩小这一差距,这是一个单一的轻量级服务,它了解如何从库中获取机密,并安全地使用它们与外部服务建立连接,而无需将机密暴露给应用程序。”
要在不直接处理机密的情况下连接到目标服务,客户端要通过Secretless Broker。服务连接器会说出目标服务的协议,并负责身份验证步骤。客户端不需要知道实际密码。它只是在本地连接到Secretless Broker。然后,该工具通过凭据提供商从秘密存储(如Conjur、钥匙串、文件或类似的东西)获取所需的凭据。它使用这些凭据连接到服务,并在客户端和服务之间传递数据。
该工具支持开箱即用的几个目标服务:
- MySQL(套接字和TCP)
- PostgreSQL(套接字和TCP)
- SSH/SSH代理(测试版)
- 具有基本身份验证、Conjur和AWS授权策略的HTTP(测试版)
未来计划和下载
“展望未来,我们希望扩大对更多目标服务的支持,并深化与解决秘密零问题的工具的集成。我们对Secretless Broker如何与SPIFFE等基于身份的解决方案合作感到兴奋。例如,在支持SPIFFE的环境中,我们的工具可以接受身份证件,并将其转换为安全服务访问所需的任何凭据,或者,在仍然需要机密的情况下,继续提供一种安全和抽象的方式来消费它们,”Tanekha解释道。
Secretless Broker在GitHub上免费提供。
文章来源:helpnetsecurity
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容