【数据安全】如何使用 Vault 在 Spring Boot 中隔离数据库凭证

简介: 我将使用 Hashicorp Vault 作为秘密管理工具。所有数据库凭据都将存储在 Vault 中,我将在引导应用程序时检索这些凭据。

如今,数据隐私和安全变得至关重要。 因此,我们需要隔离数据库凭证并使其对我们的应用程序/服务透明。

概述

在我的旧帖子中,我写了关于使用 Jasypt 加密数据库凭证的内容。但是我们仍然在属性文件中保留加密值。这意味着,在某些时候,开发人员可以解密该值并读取这些凭据。

但..

从应用程序的角度让它真正透明怎么样?我所说的透明的意思是;该应用程序对凭据一无所知。因此,在这篇博文中,我想从应用程序的角度分享如何保护您的数据库凭据。

我将使用 Hashicorp Vault 作为秘密管理工具。所有数据库凭据都将存储在 Vault 中,我将在引导应用程序时检索这些凭据。

用例

在此用例中,我将创建一个服务并将其命名为 pg_service_1。服务本身将连接到 postgres 数据库,就像任何普通服务一样。但是,不同的是,我不会在属性文件中放置任何数据库凭据配置。相反,它们将保存在 Vault 中。

pg_service_1 会将具有一定有效期的初始令牌传递给 Vault。接下来,通过使用 AppRole 身份验证模式,该服务将在应用程序启动期间使用提取秘密 ID 模式检索数据库凭据。然后虚拟服务将连接到数据库并继续准备好为请求提供服务。For this purpose, I will have two personas, which are admin and app (pg_service_1).

Admin

第 1 步:启用 AppRole 身份验证并创建 Vault 策略、

# enable approle

vault auth enable approle

 

# create secret path

vault secrets enable -path=database kv-v2

 

# database-policy.hcl

# Read-only permission on 'database/*' path

tee database-policy.hcl <<"EOF"

path "database/*" {

 capabilities = [ "read" ]

}

EOF

 

vault policy write database database-policy.hcl

 

# database-init-token.hcl

# policy for initial token

tee database-init-token.hcl <<"EOF"

path "auth/approle/*" {

 capabilities = [ "create", "read", "update" ]

}

EOF

 

vault policy write database-init-token database-init-token.hcl

Step 2: Write AppRole for pg_service_1

# write approle for pg_service_1 with policy:database and ttl:1h

vault write auth/approle/role/pg_service_1 policies="database" token_ttl=1h

Step 3: Store KV Data

# Store kv data


tee postgres.txt <<"EOF"


{


 "url": "jdbc:postgresql://10.10.10.10:5432/db",


 "username": "user",


 "password": "password"


}


EOF

 

vault kv put database/postgres/service_1 @postgres.txt

Step 4: Generate Init Token and Pass It to App

 

# Generate init token for APP, valid for 3 days

vault token create -policy=database-init-token -ttl=72h


# Result: s.rMdwZh8udP9HVYmu1SmrSO3F

 

App

For App, I will use Spring Boot as our pg_service_1.

Step 1: Add vault dependencies in pom.xml

 

<!-- snippet code -->

<dependency>

   <groupId>org.springframework</groupId>

   <artifactId>spring-web</artifactId>

</dependency>

<dependency>

   <groupId>org.springframework.vault</groupId>

   <artifactId>spring-vault-core</artifactId>

</dependency>

Step 2: application.yml

spring:

 datasource:

   type: com.zaxxer.hikari.HikariDataSource

   driver-class-name: org.postgresql.Driver

   hikari:

     poolName: Hikari

     maximum-pool-size: 5

     auto-commit: false

     connection-test-query: SELECT 1

 jpa:

   database: POSTGRESQL

   hibernate:

     ddl-auto: update

   properties:

     hibernate.jdbc.lob.non_contextual_creation: true

     hibernate.connection.provider_disables_autocommit: true


vault:

 appconfig:

   token: ${TOKEN:default}

Please note I exclude url, username and password under spring.datasouce key.

Step 3: Configure Spring Vault

@Configuration

@ConfigurationProperties(prefix = "vault.appconfig")

public class AppConfig extends AbstractVaultConfiguration {


   private String token;


   public String getToken() {

       return this.token;

   }


   public void setToken(final String token) {

       this.token = token;

   }


   @Override

   public ClientAuthentication clientAuthentication() {

       final VaultToken initialToken = VaultToken.of(token);

       final AppRoleAuthenticationOptions options = AppRoleAuthenticationOptions

               .builder()

               .appRole("pg_service_1")

               .roleId(RoleId.pull(initialToken))

               .secretId(SecretId.pull(initialToken))

               .build();


       return new AppRoleAuthentication(options, this.restOperations());

   }


   @Override

   public VaultEndpoint vaultEndpoint() {

       final VaultEndpoint vaultEndpoint = VaultEndpoint.create("localhost", 8200);

       vaultEndpoint.setScheme("http");

       return vaultEndpoint;

   }


}

AppRole authentication with PULL mechanism.

Step 4: Reconfigure Datasource Configuration

@Primary

@Configuration

@ConfigurationProperties(prefix = "spring.datasource")

public class DataSourceConfig extends DataSourceProperties {


   @Autowired

   private AppConfig appConfig;


   @Override

   public void afterPropertiesSet() throws Exception {

       final VaultToken login = this.appConfig.clientAuthentication().login();


       final VaultTemplate vaultTemplate = new VaultTemplate(this.appConfig.vaultEndpoint(),

               new TokenAuthentication(login.getToken()));

       final VaultKeyValueOperations operations = vaultTemplate.opsForKeyValue("database",

               KeyValueBackend.versioned());

       final Map<String, Object> data = operations.get("postgres/service_1").getData();


       this.setUsername((String) data.get("username"));

       this.setUrl((String) data.get("url"));

       this.setPassword((String) data.get("password"));

       super.afterPropertiesSet();

   }


}

Note: set as @Primary bean, extends DataSourceProperties class and override afterPropertiesSet method.

Step 5: Start Application Using Init Token from Admin-Step 4

# pass init-token using -DTOKEN

# init-token: s.rMdwZh8udP9HVYmu1SmrSO3F

mvn spring-boot:run -DTOKEN=s.rMdwZh8udP9HVYmu1SmrSO3F

The service should be up and running; with connection to postgres database.

结论

通过使用这种数据库凭证隔离,我们可以确保只有某些人有权访问凭证。 这种方法将使您的 IT 生态系统更加安全、可审核和可控相关用户对生产数据库的访问


Tags

本文:https://architect.pub/how-isolate-database-credentials-spring-boot-using-vault

相关文章
|
1天前
|
JavaScript Java 关系型数据库
学习平台|基于Springboot+vue的学习平台系统的设计与实现(源码+数据库+文档)
学习平台|基于Springboot+vue的学习平台系统的设计与实现(源码+数据库+文档)
16 0
|
1天前
|
JavaScript Java 测试技术
大学生体质测试|基于Springboot+vue的大学生体质测试管理系统设计与实现(源码+数据库+文档)
大学生体质测试|基于Springboot+vue的大学生体质测试管理系统设计与实现(源码+数据库+文档)
11 0
|
1天前
|
JavaScript NoSQL 小程序
特产销售|基于Springboot+vue的藏区特产销售平台(源码+数据库+文档)​
特产销售|基于Springboot+vue的藏区特产销售平台(源码+数据库+文档)​
24 0
|
1天前
|
JavaScript 小程序 Java
班级综合测评|基于Springboot+vue的班级综合测评管理系统(源码+数据库+文档)
班级综合测评|基于Springboot+vue的班级综合测评管理系统(源码+数据库+文档)
11 0
|
1天前
|
JavaScript Java 关系型数据库
“智慧食堂”|基于Springboot+vue的“智慧食堂”系统(源码+数据库+文档)
“智慧食堂”|基于Springboot+vue的“智慧食堂”系统(源码+数据库+文档)
11 0
|
1天前
|
JavaScript 小程序 Java
“漫画之家”|基于Springboot+vue的“漫画之家”系统(源码+数据库+文档)
“漫画之家”|基于Springboot+vue的“漫画之家”系统(源码+数据库+文档)
10 0
|
1天前
|
JavaScript Java 关系型数据库
车辆充电桩|基于Springboot+vue的车辆充电桩管理系统的设计与实现(源码+数据库+文档)
车辆充电桩|基于Springboot+vue的车辆充电桩管理系统的设计与实现(源码+数据库+文档)
13 0
|
1天前
|
JavaScript NoSQL Java
选修选课|基于Springboot+vue的大学生选修选课系统的设计与实现(源码+数据库+文档)
选修选课|基于Springboot+vue的大学生选修选课系统的设计与实现(源码+数据库+文档)
15 0
|
1天前
|
小程序 JavaScript Java
医院预约挂号|基于Springboot+vue的医院预约挂号系统小程序的设计与实现(源码+数据库+文档)
医院预约挂号|基于Springboot+vue的医院预约挂号系统小程序的设计与实现(源码+数据库+文档)
9 0
|
1天前
|
JavaScript Java 关系型数据库
大学生就业招聘|基于Springboot和vue的大学生就业招聘系统设计与实现(源码+数据库+文档)
大学生就业招聘|基于Springboot和vue的大学生就业招聘系统设计与实现(源码+数据库+文档)
8 1