Как безопасно сохранить различные учетные данные домена для API сканирования Active Directory?

Question

Если разрабатывается API python flask, который внутренне устанавливает соединение ldap с различными доменами для извлечения данных.

Какой безопасный способ сохранить все учетные данные домена?

Можно ли зашифровать / ha sh и сохранить учетные данные в файле db или conf? Поскольку хранение данных таким способом кажется небезопасным, а также при смене пароля, нам придется каким-то образом обновить базу данных.

Есть ли какой-нибудь лучший способ?

Answer 1

В производственных средах секреты обычно хранятся в чем-то, предназначенном для хранения секретов, например, в хранилище секретов Hashicorp, Azure Key Vault или AWS Secrets Manager. Они надежно хранятся в окружении и доступны только там.

Локально разрабатывая, вы можете использовать Keybase как место для хранения ваших секретов в файлах и монтирования каталога секретов.

Просто помните, что шифрование Ваши учетные данные не имеют смысла, если вы жестко закодировали ключ дешифрования в исходном коде, что возвращает вас к тому же вопросу: где вы храните свой ключ дешифрования? Ответ; менеджер секретов / хранилища.