这是Aqua Security营销副总裁Rani Osnat的客座帖子。Aqua是HashiCorp技术合作伙伴，专注于从开发到生产的任何平台上基于容器的应用程序的安全。Aqua Security成立于2015年，专注于保护使用虚拟容器（例如使用Docker）开发和运行的应用程序。我们为容器的整个生命周期提供自动化的安全控制，从开发开始一直到保护生产中的容器工作负载。我们与已经使用容器或正在迁移到容器的大型企业合作，并有安全和法规要求，以确保其应用程序得到保护和监视。在得知客户需要容器中的机密管理后，我们选择了与HashiCorp Vault集成。金库是企业机密管理的主导产品，被大型企业广泛使用，易于集成。HashiCorp保险库用于容器的机密管理容器的采用在应用程序安全性方面造成了严重的破坏。并不是说容器的安全性不如其他技术，而是它们的开发和运行方式需要在安全性管理方式上进行重大转变。这是由于非常快速的开发和部署周期、共享的内核架构、使用的编排工具等。现有的安全解决方案无法为容器工作负载提供必要的可见性和控制。典型的例子管理容器环境中的机密对于任何将基于容器的应用程序转移到生产环境中的组织来说都是一个重大挑战。由于容器需要访问机密，但运行在共享内核上，因此面临的挑战是如何将机密安全地传递给容器，确保机密仅在容器内而不是在主机上可访问，并方便机密的生命周期操作（更新、旋转、吊销）而不会停机。此外，许多组织已经使用了一个集中的机密存储库，如HashiCorp Vault，因此为管理容器中的机密而创建单独的数据库会造成不必要的重复，增加了机密对特权用户的潜在暴露，并且无法利用现有的投资。HashiCorp拱顶和浅绿色在Aqua，我们希望创建一个机密管理解决方案，它负责将机密放入容器的"最后一英里"，同时利用现有的机密解决方案来管理机密存储、访问管理和生命周期控制。HashiCorp Vault是一个完美的适合，因为它被企业广泛使用，并且易于集成。通过Aqua和Vault集成，组织可以安全高效地管理和使用容器基础应用程序中的机密。他们继续管理保险库中的机密，而Aqua为他们提供了为容器和容器组分配机密、监视容器中的机密使用情况以及更新、旋转和撤消机密的能力，而无需停止或重新启动正在运行的容器。在整个过程中，秘密本身仍然是加密的，任何人或任何人都无法访问，而不是预期的容器。它不会持久存在于磁盘上，一旦容器停止运行，它所使用的相关机密也随之消失。即使在Aqua管理控制台中，秘密值也不可见-只有它们的名称/标签。小型案例研究一家保险公司已经开始使用Docker容器开发和交付应用程序。客户面临的挑战之一是管理容器中的机密，更具体地说，如何在不增加暴露风险的情况下为容器提供操作所需的密钥和凭证的访问权限。公司希望：利用其HashiCorp保险库安装来管理容器的机密避免不必要的机密数据库重复确保机密在主机上不可见也不持久为法规遵从性目的获得可见性和审计跟踪由于客户是一家大型保险公司，他们受到许多监管要求的约束。以安全的方式管理机密是最重要的，并且能够了解这些机密在何时何地被使用—这对法规遵从性是一个无价的好处。客户现在能够将其严格的机密管理实践扩展到其容器部署中，从容器带来的好处（敏捷的开发和交付、可扩展的应用程序）中获益，而不会损害安全性和法规遵从性。HashiCorp Vault是一种保护任何基础设施和应用程序的产品。Vault提供了一致的工作流来安全地存储和管理机密、提供加密即服务以及细粒度的权限访问管理。要了解有关HashiCorp保险库的更多信息，请访问https://www.hashicorp.com/products/vault/。