Ho delle applicazioni Java (utilizzando Spring in esecuzione nei contenitori Jetty Servlet) che devono accedere a un database Oracle. Qual è la migliore pratica per fornire le credenziali del DB alle applicazioni?
Mi sono imbattuto in backend MySQL di Hashicorp Vault . Mi piace questo approccio in quanto mantiene le credenziali sicure e continua a creare nuove vite di breve durata, quindi anche se uno viene compromesso, il suo valore è limitato. Esistono approcci simili per Oracle?
Lo standard che ho visto è semplicemente utilizzare le autorizzazioni del file system - per fare ciò, è necessario assicurarsi che l'applicazione sia in esecuzione come utente dedicato - che nessun'altra applicazione usi quell'utente; che l'accesso a tale utente è limitato in modo simile; e che i file di configurazione appropriati che contengono segreti sono limitati solo a quell'utente - nessun gruppo o altre autorizzazioni a tutti.
Oltre i sistemi di archiviazione di autenticazione basati su hardware, la maggior parte degli altri schemi finisce semplicemente per spostare il segreto che deve essere memorizzato (ad esempio, alcune persone suggeriscono di crittografare le informazioni - il segreto che deve essere protetto diventa la chiave di crittografia / vettore di inizializzazione) . In definitiva, QUALCOSA deve concedere l'accesso - e non c'è nulla di fondamentalmente sbagliato con le autorizzazioni del file system del sistema operativo.
Leggi altre domande sui tag configuration oracle defense credentials databases