Tengo aplicaciones Java (utilizando Spring que se ejecutan en contenedores Jetty Servlet) que necesitan acceder a una base de datos Oracle. ¿Cuál es la mejor práctica para otorgar las credenciales de la base de datos a las aplicaciones?
Me topé con backend MySQL de Hashicorp Vault . Me gusta este enfoque, ya que mantiene las credenciales seguras y sigue creando nuevas de corta duración, por lo que incluso si uno se ve comprometido, su valor es limitado. ¿Existen enfoques similares para Oracle?
El estándar que he visto es simplemente usar los permisos del sistema de archivos; para hacerlo, debe asegurarse de que la aplicación se ejecute como un usuario dedicado, que ninguna otra aplicación use ese usuario; que el acceso a ese usuario está restringido de manera similar; y que los archivos de configuración apropiados que contienen secretos están restringidos solo a ese usuario, sin ningún grupo u otro permiso.
Más allá de los sistemas de almacenamiento de autenticación basados en hardware, la mayoría de los otros esquemas simplemente terminan moviendo el secreto que necesita ser almacenado (por ejemplo, algunas personas sugieren encriptar la información; el secreto que luego debe ser protegido se convierte en la clave de encriptación / vector de inicialización) . En última instancia, ALGO necesita otorgar el acceso, y no hay nada fundamentalmente malo con los permisos del sistema de archivos del sistema operativo.
Lea otras preguntas en las etiquetas defense credentials configuration databases oracle