Verwandte Openstack-Projekte¶
Castellan <https://docs.openstack.org/castellan/latest/> _ ist eine Bibliothek, die eine einfache gemeinsame Schnittstelle zum Speichern, Generieren und Abrufen von Geheimnissen bietet. Es wird von den meisten Openstack-Diensten für das Geheimnismanagement verwendet. Als Bibliothek bietet Castellan kein Geheimlager an und für sich. Stattdessen muss eine Back-End-Implementierung implementiert werden.
Beachten Sie, dass Castellan keine Authentifizierung bereitstellt. Es übergibt einfach die Authentifizierungsdaten (zum Beispiel ein Keystone-Token) an das Backend.
Barbican <https://docs.openstack.org/barbican/latest/> _ ist ein OpenStack-Dienst, der ein Back-End für Castellan bereitstellt. Barbican erwartet und authentifiziert ein Keystone-Authentifizierungstoken, um den Benutzer zu identifizieren und auf ein Geheimnis zuzugreifen oder zu speichern. Es wendet dann eine Richtlinie an, um festzustellen, ob der Zugriff erlaubt ist. Es bietet außerdem eine Reihe zusätzlicher nützlicher Funktionen, um das geheime Management zu verbessern, einschließlich der Kontingente, geheimen ACLs, der Verfolgung der Geheimnisse von Konsumenten und der Gruppierung von Geheimnissen in geheimen Containern. Octavia zum Beispiel integriert sich direkt mit Barbican (anstelle von Castellan), um einige dieser Funktionen zu nutzen.
Barbican verfügt über eine Reihe von Back-End-Plugins, die zur sicheren Speicherung von Geheimnissen in lokalen Datenbanken oder in HSMs verwendet werden können.
Derzeit ist Barbican das einzige verfügbare Back-End für Castellan. Es gibt jedoch mehrere Backends, die entwickelt werden, darunter KMIP, Dogtag, Hashicorp Vault und Custodia. Für diejenigen Bereitsteller, die Barbican nicht einsetzen möchten und relativ einfache Schlüsselmanagement-Anforderungen haben, könnte die Verwendung eines dieser Backends eine gangbare Alternative sein. Was jedoch fehlt, ist die Durchsetzung der Multi-Tenant- und Tenant-Policy beim Abrufen der Geheimnisse sowie aller oben genannten zusätzlichen Merkmale.