key vault 秘钥库

啥是secret

secret包括 账号，密码，token，DB credentials，TLS certification。。。

secret管理的挑战

1. 存在哪里？

这些都是非常重要的信息。不应明文存储。应该加密存储。应该存在哪里？配置文件中，代码中硬编码？ gitlab中?当然不行

key vault提供一个集中的解决方案，可以对at rest 跟in transit终端数据加密，并且提供访问控制，audit功能

2 动态还是静态

secret如果是静态唯一的，如果发生泄露，后果可想而知，所以应使用动态的，并且呢要轮换，并且不应该一个secret用于多台服务，自己用自己的，不至于一台攻破之后全部沦陷

3 encrypt as a service

加解密如果让devloper实现可能会出错。。。vault提供加解密服务，secret 生命周期管理。开发人员API调用即可

vault要解决的就是以上的三个挑战

关于key vault： chatGPT如是说

密钥库是由云计算平台(如Microsoft Azure、Amazon Web Services (AWS)和谷歌cloud Platform (GCP))提供的安全数字存储服务。

密钥库服务允许用户安全地存储和管理加密密钥、秘密和证书。这些密钥和秘密用于保护云中的数据、应用程序和其他资源。

密钥库为管理密钥和秘密提供了一个安全且集中的位置，具有访问策略、密钥轮换和审计等功能。这有助于组织遵守数据安全的行业法规和最佳实践。

除了密钥管理之外，密钥库还支持加密、解密、签名和验证等加密操作。这允许应用程序和服务使用存储在密钥库中的密钥和秘密，而不会暴露它们的潜在安全风险。

总的来说，密钥库为保护基于云的资源和数据提供了关键服务，并且是任何云安全策略的重要组成部分。

密钥生命周期管理

指在加密密钥的整个生命周期(从创建到销毁)中管理密钥的过程。这包括密钥生成、存储、分发、使用、轮换、撤销和删除。

正确的密钥生命周期管理对于确保依赖加密保护的数据、应用程序和其他资源的安全性至关重要。关键生命周期管理过程应包括以下步骤:

密钥生成:使用安全随机数生成器创建新的加密密钥的过程。

密钥存储:将密钥安全地存储在密钥管理系统或其他安全存储位置的过程。

密钥分发:将密钥安全地分发给授权用户或系统的过程。

密钥使用:使用密钥加密或解密数据或执行其他加密操作的过程。

密钥轮换:定期生成新密钥并退役旧密钥以降低密钥泄露风险的过程。

密钥撤销:在怀疑密钥已被泄露或授权用户不再需要访问密钥时，立即撤销密钥的过程。

密钥删除:当密钥不再需要或已达到使用寿命时，安全删除密钥的过程。

总体而言，有效的密钥生命周期管理对于维护依赖加密保护的敏感数据和其他数字资产的安全性和完整性至关重要。