Будет ли кешировать конфигурацию облака Spring / хранить данные конфигурации из бэкэнда

В моем проекте я планирую использовать несколько бэкэндов для хранения различных данных в моей настройке весеннего облачного сервера conifg: используйте бэкэнд git для хранения неконфиденциальных данных и используйте хранилище для хранения конфиденциальных данных, таких как пароль / токен. Это похоже на то, что https://content.pivotal.io/blog/spring-cloud-services-supports-vault-multiple-backends-use-the-right-config-repo-for-the-job предлагает.

Мой вопрос в том, что, поскольку возвращенное расшифрованное значение из хранилища передается обратно в «клиентское приложение» через сервер конфигурации, каким-либо образом будет конфигурировать кеш сервера / хранить / регистрировать ответ из хранилища. Если это правда, сервер конфигурации станет большой целью для хакеров, и нам, возможно, придется защитить сервер конфигурации с помощью дополнительных настроек.


hashicorp-vault spring-cloud-config
person pkuneal    schedule 06.02.2018    source источник
comment
вы нашли ответ на этот вопрос? Если да, то поделитесь, мне очень интересен ответ ...!   -  person Christoffer Soop    schedule 02.06.2018

Ответы (1)


arrow_upward
1
arrow_downward

Я полагаю, что истинным ответом на вашу озабоченность будет защита каждого уровня вашего стека, чтобы предотвратить вторжение в любой отдельной точке.

В документации Spring нет явных ссылок на кэширование данных, поэтому в этом отношении вы должны быть в безопасности. Для Config Server также не имело бы большого смысла кэшировать конфигурацию из внешних хранилищ данных, поскольку это не является достоверным источником этих данных. Мы хотим, чтобы он всегда извлекал данные из источника, чтобы гарантировать получение последней версии данных. Я предполагаю, что может иметь место кеширование, если сервер Config Server сохранил конфигурацию локально и смог просмотреть файлы на предмет изменений и соответственно обновите свой кеш. Но, несмотря на это, я все еще не уверен в преимуществах кеширования на этом уровне.

При личном использовании Spring Cloud Config Server я еще не видел, чтобы он выходил из всей конфигурации; фактически, для начала он регистрирует очень мало. Я уверен, что вы можете подавить ведение журнала еще больше, установив соответствующие уровни.

Вам также следует обратить внимание на обеспечение безопасности соединений между Vault & Config Server и Config Server и каждым приложением, использующим SSL. Это предотвратит передачу данных в виде открытого текста и обеспечит дополнительный уровень безопасности.

person Reegz    schedule 26.07.2018
comment
Я не знаю о хранилище, но когда сервер конфигурации использует сервер git, он кеширует каждое полученное репо, даже если он настроен на обновление для каждого запроса. Невозможно отключить такое поведение. Он не регистрирует его, но кэширует его в файловой системе. Убежище может быть другим. Я бы не стал делать никаких предположений по поводу кеширования, основываясь на том, что это не задокументировано. Но если вы зашифруете свои конфиденциальные значения в репозиториях git, локальный кеш будет иметь зашифрованные значения, так что это кажется достаточно безопасным. (Не уверен, в чем преимущество хранилища над сервером git.) - person Marnee; 27.07.2021