Project Nebula - ทางเลือกแทน Vault แบบรวมศูนย์ เช่น Hashicorp Vault, Infisical
(github.com/CremitHQ)คุณเคยคิดถึงข้อจำกัดของโซลูชัน Secret Management ที่ถูกจัดการแบบรวมศูนย์หรือไม่? โครงสร้างที่ให้ข้อมูลสำคัญหรือข้อมูลรับรองถูกจัดการจากส่วนกลางโดยเซิร์ฟเวอร์หรือบริการเพียงจุดเดียว อาจทำให้ระบบการจัดการทั้งหมดพังทลายได้หากเซิร์ฟเวอร์กลางถูกแฮ็กหรือเกิดภัยคุกคามจากบุคคลภายใน
นอกจากนี้ Vault แบบรวมศูนย์ยังไม่เปิดให้เจ้าของข้อมูลกำหนดสิทธิ์ให้กับข้อมูลของตนเองได้
เราได้โอเพนซอร์สระบบ Secret Management ที่แก้ปัญหาข้างต้น และขอมาแบ่งปันใน Geek News ที่ใช้งานเป็นประจำ
ฟีเจอร์และคุณสมบัติหลัก:
-
การจัดการแบบกระจายผ่าน MA-ABE(Multi-Authority Attribute-Based Encryption)
ระบบไม่พึ่งพาเซิร์ฟเวอร์กลางเพียงจุดเดียว แต่กระจายการจัดการคีย์ไปยังหน่วยงานกำหนดสิทธิ์หลายแห่ง ทำให้แม้บางหน่วยงานจะถูกเจาะ ระบบการจัดการซีเคร็ตโดยรวมก็ได้รับผลกระทบน้อยที่สุด -
การเข้ารหัสตามคุณลักษณะและนโยบายควบคุมการเข้าถึง
เจ้าของข้อมูลสามารถควบคุมการเข้าถึงข้อมูลของตนเอง ทำให้สามารถแชร์กับบุคคลที่สามได้อย่างปลอดภัย -
E2EE(End-to-End Encryption)
ซีเคร็ตจะถูกเข้ารหัสและถอดรหัสที่ฝั่งผู้ใช้ ทำให้ความปลอดภัยคงอยู่ตลอดกระบวนการส่งและจัดเก็บโดยไม่มีการเปิดเผยข้อความล้วน -
การพัฒนาด้วย Rust และรองรับ WASM client
พัฒนาด้วย Rust จึงให้ทั้งความเสถียรและประสิทธิภาพสูง และยังผสานรวมได้ง่ายผ่าน WASM client
โรดแมป
- มีแผนจะออก SDK เพื่อให้สามารถใช้งาน WASM client ได้จากภาษาหลักต่าง ๆ
2 ความคิดเห็น
ในที่สุดก็นำเสนอทางเลือกแทน Vault สักทีเหรอครับ
สิ่งที่ทำให้ผม/ฉันกังวลอยู่เสมอเวลาใช้บริการ/โซลูชันด้าน Secret Management อย่าง Vault หรือ Infisical ก็คือ มันเริ่มจากคำถามว่า 'ผู้ดูแลส่วนกลาง' ไม่ได้รู้ทุกอย่างทั้งหมดหรอกหรือ? :)
ทุกวันนี้ความสามารถในการฟื้นตัวในงานด้านความปลอดภัยยิ่งทวีความสำคัญขึ้นเรื่อย ๆ และข้อดีคือมันมีความสามารถในการฟื้นตัว / ความปลอดภัย / โครงสร้างแบบกระจายศูนย์ที่เหนือกว่า Vault จึงช่วยลดขอบเขตของผลกระทบให้เหลือน้อยที่สุดได้ :)