rest - 保护Vault Secrets管理的REST调用

Question

一直试图找出如何做到这一点。本质上，Vault的REST调用没有安全选项。我想使这些其余调用尽可能在点a和b之间进行加密。我的想法是:

使用SSH隧道

使用像Stunnel一样的TLS隧道

我目前在Docker容器中有Vault，因此还有其他需要提及的地方。有没有人遇到过这种情况，您如何处理？

更新:因此，使用Python API(HVAC)，出现以下错误:

requests.exceptions.SSLError: HTTPSConnectionPool(host='0.0.0.0',
port=8200): Max retries exceeded with url: /v1/secret (Caused by
SSLError(SSLError("bad handshake: Error([('SSL routines', 'ssl3_get_record',
'wrong version number')],)",),))

使用以下命令:

import os
import hvac
client = hvac.Client(url='https://0.0.0.0:8200', token='my-token-here')

Answer 1

保管箱具有TLS enabled by default，因此您的所有REST调用均已加密。如果您在使用https时遇到麻烦，请查看VAULT_CACERT和VAULT_CAPATH环境变量的文档。

从Vault的文档中。

VAULT_CACERT

Path to a PEM-encoded CA certificate file on the local disk. This file is used to verify the Vault server's SSL certificate. This environment variable takes precedence over VAULT_CAPATH.

VAULT_CAPATH Path to a directory of PEM-encoded CA certificate files on the local disk. These certificates are used to verify the Vault server's SSL certificate.

您可以使用 tcpdump或 wireshark之类的工具来确保您的请求确实已加密。