Serverless 在前端领域越来越流行,它能够帮助我们快速构建、部署和运行应用程序,无需考虑服务器资源的问题。但是,随着应用程序规模的增长,我们需要处理越来越多的敏感数据,如 API 密钥、数据库密码、加密密钥等等。这些数据需要被安全地管理,以免被攻击者利用。因此,本文将介绍如何在 Serverless 中实现秘密管理,并给出详细的实践指导。
Serverless 秘密管理的挑战
在传统应用程序中,我们通常将敏感数据存储在代码中或配置文件中。然而,在 Serverless 中,我们需要将这些数据存储在外部,并使用安全的方式在代码中引用它们。这样做的好处是:
- 安全性更高:不同的敏感数据可以被存储在不同的位置,外部服务可以更容易地管理和保护这些数据。
- 可维护性更高:我们可以轻松地更改敏感数据,而无需重新构建和部署我们的代码。
- 在团队中共享更容易:我们可以将敏感数据存储在团队成员都能够访问的位置,并使用安全的方法在代码中引用它们。
然而,Serverless 秘密管理也带来了一些挑战:
- 各种应用程序的敏感数据可能分散在不同的存储区域,管理起来可能比较复杂。
- 如何在运行时将秘密数据安全地注入到 Serverless 应用程序中,避免出现不安全的硬编码密码等做法。
- 在测试和生产环境之间处理敏感数据的不同。
那么,我们该怎么解决这些问题呢?
Serverless 秘密管理的解决方案
下面,我们将介绍三种在 Serverless 中实现秘密管理的方式:环境变量、云服务秘钥管理和密钥管理服务。
环境变量
在 Serverless 应用程序中使用环境变量管理敏感数据是一种简单而常用的方式。通过配置环境变量,我们可以在应用中引用这些变量,而无需在代码中明文存储密码等信息。
当运行一个 AWS Lambda 函数时,可以很容易地设置环境变量。我们可以在 AWS Console 或通过 AWS CLI 设置环境变量:
aws lambda update-function-configuration \
--function-name my-function \
--environment 'Variables={DB_NAME=mydatabase}'然后,在代码中,我们可以使用 process.env.DB_NAME 访问环境变量。
const db = require('my-database');
const dbConnection = db.connect({
dbName: process.env.DB_NAME,
username: 'myusername',
password: 'mypassword',
});通过使用环境变量,我们可以轻松地管理敏感数据,并在代码中引用它们。
云服务秘钥管理
云服务秘钥管理(KMS)是一种在云服务中安全管理密钥的方式。例如,Amazon Web Services (AWS) 提供了 KMS 服务,用于为 S3、RDS、Redshift、CloudFront 等 AWS 服务提供服务器端加密和客户端加密。
在 Serverless 应用程序中,我们可以使用 AWS KMS 安全地管理我们的敏感数据。当需要访问敏感数据时,我们可以调用 KMS API 来解密数据。
首先,我们需要创建一个 KMS 密钥,用于加密或解密数据。然后,我们可以使用 AWS CLI 将秘密数据加密并存储在 S3 中。
aws kms encrypt \ --key-id alias/my-kms-key \ --plaintext 'mysecret' \ --output text \ --query CiphertextBlob > mysecret.encrypted aws s3 cp mysecret.encrypted s3://mybucket/mysecret.encrypted
在 Lambda 函数运行时,我们可以使用 AWS SDK 中的 aws-sdk/clients/kms 客户端来访问 KMS:
// javascriptcn.com 代码示例
const AWS = require('aws-sdk');
const s3 = new AWS.S3();
const kms = new AWS.KMS();
const mysecret = s3.getObject({
Bucket: 'mybucket',
Key: 'mysecret.encrypted',
}).promise().then(obj => {
return kms.decrypt({
CiphertextBlob: obj.Body,
}).promise();
}).then(data => {
const mysecret = data.Plaintext.toString();
return mysecret;
});在上面的例子中,我们使用 aws-sdk/clients/kms 客户端来访问 KMS,并使用 decrypt 方法解密数据。然后,我们可以在代码中使用 mysecret 变量来引用我们的敏感数据。
密钥管理服务
密钥管理服务(KMS)是专门为秘密管理而设计的服务。例如,AWS Secrets Manager 可以帮助我们轻松地保存和管理敏感数据,同时提供了自动轮换和审计功能。
AWS Secrets Manager 可以帮助我们轻松地访问我们的秘密数据。我们可以创建一个秘密,将 API 密钥、数据库密码等数据存储在其中。然后,在 Lambda 函数中,我们可以通过访问 Secrets Manager API 来获取我们的秘密数据。
const AWS = require('aws-sdk');
const secretsManager = new AWS.SecretsManager();
const mysecret = secretsManager.getSecretValue({
SecretId: 'mysecret',
}).promise().then(data => {
const secret = JSON.parse(data.SecretString);
return secret;
});在上面的例子中,我们使用 aws-sdk/clients/secretsmanager 客户端来访问 AWS Secrets Manager,并使用 getSecretValue 方法获取秘密数据。然后,我们可以在代码中使用 mysecret 变量来引用我们的敏感数据。
总结
在 Serverless 中,秘密管理是一项重要的任务。通过使用环境变量、云服务秘钥管理和密钥管理服务,我们可以轻松地安全地管理我们的敏感数据,并在代码中引用它们。在实践中,我们需要注意以下几点:
- 将敏感数据存储在安全的位置,并使用合适的方式进行加密。
- 限制访问我们的秘密数据的角色和权限。
- 将访问秘密数据的代码置于最受信任的环境中,并将访问控制加强到最小。
希望这篇文章能够帮助你更好地理解 Serverless 秘密管理,并在实践中得到应用。
来源:JavaScript中文网 ,转载请注明来源 本文地址:https://www.javascriptcn.com/post/6528da8e7d4982a6ebb6768f