加密概述

Mon, 01 Jan 0001 00:00:00 +0000

使用加密构建块，您可以安全且一致地利用加密技术。Dapr 提供的 API 允许您在密钥库或 Dapr sidecar 中执行加密和解密操作，而无需将加密密钥暴露给您的应用程序。

为什么需要加密？

加密技术在应用程序中被广泛使用，正确实施可以在数据泄露时提高安全性。在某些情况下，您可能需要使用加密技术以符合行业法规（如金融领域）或法律要求（如 GDPR 等隐私法规）。

然而，正确使用加密技术可能很复杂。您需要：

选择合适的算法和选项
学习正确的密钥管理和保护方法
在希望限制对加密密钥材料的访问时，处理操作复杂性

安全的一个重要要求是限制对加密密钥的访问，这通常被称为“原始密钥材料”。Dapr 可以与密钥库集成，如 Azure Key Vault（未来将支持更多组件），这些密钥库将密钥存储在安全的环境中，并在库中执行加密操作，而不将密钥暴露给您的应用程序或 Dapr。

或者，您可以配置 Dapr 为您管理加密密钥，在 sidecar 中执行操作，同样不将原始密钥材料暴露给您的应用程序。

Dapr 中的加密

使用 Dapr，您可以在不将加密密钥暴露给应用程序的情况下执行加密操作。

通过使用加密构建块，您可以：

更轻松地以安全的方式执行加密操作。Dapr 提供了防止使用不安全算法或不安全选项的保护措施。
将密钥保存在应用程序之外。应用程序从未看到“原始密钥材料”，但可以请求库使用密钥执行操作。当使用 Dapr 的加密引擎时，操作在 Dapr sidecar 中安全地执行。
实现更好的关注点分离。通过使用外部库或加密组件，只有授权团队可以访问私钥材料。
更轻松地管理和轮换密钥。密钥在库中管理并在应用程序之外，它们可以在不需要开发人员参与（甚至不需要重启应用程序）的情况下轮换。
启用更好的审计日志记录，以监控何时在库中使用密钥执行操作。

注意

虽然在 alpha 版本中同时支持 HTTP 和 gRPC，但使用支持的 Dapr SDK 的 gRPC API 是加密的推荐方法。

功能

加密组件

Dapr 加密构建块包括两种组件：

允许与管理服务或库（“密钥库”）交互的组件。
类似于 Dapr 在各种 secret 存储或 state 存储之上的“抽象层”，这些组件允许与各种密钥库（如 Azure Key Vault）交互（未来 Dapr 版本中会有更多）。通过这些组件，对私钥的加密操作在库中执行，Dapr 从未看到您的私钥。

如何：使用加密API

Mon, 01 Jan 0001 00:00:00 +0000

在您了解了Dapr作为加密构建块之后，让我们通过使用SDK来学习如何使用加密API。

注意

Dapr加密功能目前处于alpha测试阶段。

加密

在您的项目中使用Dapr SDK和gRPC API，您可以加密数据流，例如文件或字符串：

# 当传递数据（缓冲区或字符串）时，`encrypt`会返回一个包含加密信息的缓冲区
def encrypt_decrypt_string(dapr: DaprClient):
 message = 'The secret is "passw0rd"'

 # 加密消息
 resp = dapr.encrypt(
 data=message.encode(),
 options=EncryptOptions(
 # 加密组件的名称（必需）
 component_name=CRYPTO_COMPONENT_NAME,
 # 存储在加密组件中的密钥（必需）
 key_name=RSA_KEY_NAME,
 # 用于包装密钥的算法，必须由上述密钥支持。
 # 选项包括："RSA", "AES"
 key_wrap_algorithm='RSA',
 ),
 )

 # 该方法返回一个可读流，我们将其完整读取到内存中
 encrypt_bytes = resp.read()
 print(f'加密后的消息长度为 {len(encrypt_bytes)} 字节')

在您的项目中使用Dapr SDK和gRPC API，您可以加密缓冲区或字符串中的数据：

Dapr 文档库

加密概述

为什么需要加密？

Dapr 中的加密

注意

功能

加密组件

如何：使用加密API

注意

加密