flask with aio
https://flask-aiohttp.readthedocs.io/en/latest/firstofall.html →Read more
回顾 X.509 文件
什么是 X.509 文件? X.509 是一种数字证书的标准格式,用于在网络通信中提供身份验证和加密支持。它是一种广泛使用的公钥证书标准,在 SSL/TLS 协议、VPN、电子邮件加密等场景中都有应用。 X.509 文件的作用 身份验证: 确保通信双方的身份真实可信,例如 HTTPS 网站的服务器身份认证。 数据加密: 提供用于加密和解密的公钥和私钥对,确保数据传输安全。 数字签名验证: 验证证书持有者的数据是否被篡改。 信任链建立: 通过证书颁发机构(CA)的签名,建立信任关系。 X.509 文件的结构 X.509 文件通常以 .crt、.pem、.der 等格式存在,主要包含以下结构化内容: 1. 证书版本(Version) 指定 X.509 的版本号(1、2 或 3)。 当前常用的是 X.509 v3,支持扩展字段。 2. 序列号(Serial Number) 证书颁发机构(CA)为每个证书分配的唯一编号,用于区分不同的证书。 3. 签名算法标识(Signature Algorithm Identifier) 指明用于对证书签名的哈希算法和加密算法,例如: SHA256withRSA SHA384withECDSA 4. 颁发者(Issuer) 指明签发该证书的证书颁发机构的信息,例如 CA 的名称、组织、国家。 5. 有效期(Validity Period) 包含两个时间字段: […] →Read more
What’s Teleport Workload Identity and how it works
Teleport Workload Identity 是什么? Teleport Workload Identity 是 Teleport 提供的一种机制,专注于为运行在云环境、容器化平台或本地数据中心中的应用程序和服务提供安全的身份认证与访问控制。它允许应用程序在不使用传统凭证(例如用户名和密码、API 密钥)的情况下,安全地访问基础设施资源。 Teleport Workload Identity 的用途 取代硬编码凭证: 传统应用程序通常依赖硬编码的 API 密钥、证书或配置文件,易于被攻击者窃取。Teleport Workload Identity 使用短期凭证,避免了凭证泄露的风险。 支持零信任架构: 在复杂的云或混合环境中,实施基于身份的零信任访问控制。 增强安全性: 凭证动态生成且短期有效,无需手动管理长期凭证。 统一身份与访问管理: 将应用程序的身份整合到 Teleport 的集中式权限管理系统中,与用户身份管理一致。 自动化与弹性扩展: 动态支持大规模分布式系统中的应用实例。 Teleport Workload Identity 的工作原理 应用身份认证: 应用程序启动后,通过 Teleport Workload Agent 自动注册自身的身份,获取一个短期的身份凭证。 动态凭证分发: Teleport 使用临时证书或令牌,代替传统的静态凭证。 基于角色的访问控制(RBAC): 应用程序的访问权限由管理员预先配置的角色和策略决定。 身份验证服务: Teleport Auth Service 负责验证应用的身份请求,并动态签发短期凭证。 访问资源: 应用使用短期凭证通过 Teleport […] →Read more
What’s teleport and how it works
Teleport 是什么? Teleport 是一个开源的安全访问平台,旨在帮助企业简化和强化对基础设施的访问控制。它提供了统一的身份管理、审计和授权功能,用于保护开发运维团队对以下资源的访问: 服务器(SSH 和 Windows RDP) Kubernetes 集群 数据库 内部 Web 应用 CLI 工具和 API Teleport 主要面向 DevOps 和 SRE 团队,解决多云和混合环境中的访问安全和合规性问题。 Teleport 的用途 统一访问管理: 将访问控制整合到一个平台,避免管理分散的 SSH 密钥、VPN 凭证或 API 密钥。 增强安全性: 提供零信任访问(Zero Trust Access)模型,减少凭证泄漏的风险。 支持基于身份的临时访问权限(短期凭证)。 审计和合规性: 自动记录用户的所有活动,包括命令执行和会话录像,便于安全审查和合规。 多云支持: 适用于 AWS、GCP、Azure,以及本地或混合云环境。 简化开发者体验: 开发者可以使用单一身份登录(SSO)访问所有资源,无需记忆复杂凭证。 Teleport 的核心功能 SSH 和 RDP 访问: 替代传统的 SSH 密钥和 Windows RDP […] →Read more
What’s AWS Roles Anywhere and how it works
AWS Roles Anywhere 是什么? AWS Identity and Access Management (IAM) Roles Anywhere 是 AWS 提供的一项功能,允许用户的本地服务器或外部环境(如私有云、数据中心)使用 IAM 角色 授权访问 AWS 服务,而无需在这些环境中存储长期凭证(如访问密钥和密钥对)。 AWS Roles Anywhere 的用途 跨平台统一身份管理: 为非 AWS 环境(如私有云、数据中心)提供与 AWS 云资源一致的身份和权限管理。 消除长期凭证风险: 不需要在本地或外部环境中存储长期的 AWS 密钥,降低凭证泄漏的风险。 安全地访问 AWS 服务: 本地环境通过签名的 X.509 证书和信任策略,动态获得 IAM 角色的临时凭证,用于访问 AWS 服务。 支持混合云架构: 适用于跨 AWS 云和本地环境的混合部署场景。 AWS Roles Anywhere 的工作原理 1. 配置信任关系 用户在 […] →Read more
What’s AWS STS and how it works?
AWS STS 是什么? AWS Security Token Service (STS) 是一项服务,用于为用户或应用程序提供 临时的安全凭证,这些凭证可以用来访问 AWS 服务和资源。 临时凭证是短时有效的动态凭据,具有与普通 IAM 用户凭证相同的权限,但安全性更高。 AWS STS 的用途 临时访问 AWS 资源: 提供短期凭证,用于访问特定的 AWS 服务或资源。 减少长期存储凭证的风险。 跨账户访问: 在多个 AWS 账户间授权用户或应用程序访问资源。 移动和企业应用支持: 为移动设备或企业应用提供临时访问,而不需要暴露长期密钥。 提升安全性: 凭证动态生成,自动过期,防止长期凭证泄漏后的安全威胁。 AWS STS 的工作原理 1. 请求临时凭证 应用程序或用户通过 STS API(如 AssumeRole 或 GetSessionToken)发起请求。 STS 服务验证请求者的身份及权限后,生成一组临时凭证。 2. 临时凭证的组成 临时凭证包含以下内容: Access Key ID: 用于身份验证。 Secret Access […] →Read more
What are AWS SSM and SSM Agent, how they work?
AWS SSM 和 SSM Agent 是什么? AWS Systems Manager (SSM) AWS Systems Manager 是一项服务,提供了一个集中式界面,用于管理 AWS 资源(如 EC2 实例、RDS 数据库)和本地服务器。它可以帮助管理员自动化常见管理任务,例如软件更新、配置管理和系统监控。 SSM Agent SSM Agent 是安装在 EC2 实例或本地服务器上的一个轻量级客户端软件,用于接收来自 AWS Systems Manager 的命令并执行它们,例如运行脚本、安装更新、收集日志等。 AWS SSM 的用途 远程管理: 允许通过 AWS 控制台或 CLI 远程管理 EC2 实例或本地服务器,而无需手动登录。 自动化任务: 自动化任务,如补丁管理、软件分发和定期备份。 运行命令: 在多个实例上同时执行脚本或命令。 配置管理: 使用参数存储管理配置数据和密钥。 合规性和审计: 实现配置合规性检查和审计,确保系统配置符合安全标准。 SSM Agent 的用途 接收和执行命令: 从 Systems […] →Read more
What’s AWS IAM and how it works
AWS IAM 是什么? AWS Identity and Access Management (IAM) 是 Amazon Web Services 提供的一项服务,用于 管理访问 AWS 资源的权限。通过 IAM,你可以定义谁可以访问哪些资源,以及允许他们进行什么操作。 AWS IAM 的用途 用户管理: 创建和管理 AWS 用户和组。 为用户分配登录凭证和权限。 访问控制: 通过策略 (Policy) 控制用户或服务的权限。 实现最小权限原则(仅赋予用户完成任务所需的最低权限)。 安全认证: 提供多因素认证 (MFA)。 使用访问密钥和临时凭证支持程序化访问。 跨账户访问: 使用角色允许用户或服务在多个 AWS 账户间访问资源。 与服务集成: 为 EC2 实例、Lambda 函数等分配角色,授权这些服务访问其他 AWS 服务(如 S3、DynamoDB)。 AWS IAM 的工作原理 IAM 的核心工作机制基于以下几个概念: 1. 关键实体 用户 […] →Read more
搞定最下面的乌龟
Solving the bottom turtle https://spiffe.io/pdf/Solving-the-bottom-turtle-SPIFFE-SPIRE-Book.pdf →Read more
Teleport Workload Identity 2
Teleport Workload Identity lets teams bootstrap and issue identities to services across heterogeneous environments and organizational boundaries. Easy setup and maintenance for AWS Roles Anywhere: Roles Anywhere to let non-AWS services talk to AWS: Teleport Workload Identity can be used as a Trust anchor for Roles Anywhere, making it easy to connect to AWS services […] →Read more