202510
security

使用 Infisical 实现动态 PKI 生成与 SSH 访问 provisioning 的运行时秘密注入工程

探索 Infisical 如何通过动态 PKI 生成、SSH 证书 provisioning 和审计日志,实现安全微服务部署中的运行时秘密注入,提供工程参数和最佳实践。

在微服务架构中,运行时秘密注入是确保安全部署的关键挑战。传统的静态密钥管理容易导致泄露风险,而 Infisical 作为开源秘密管理平台,通过动态 PKI 生成、SSH 访问 provisioning 和全面审计跟踪,提供了一种高效的解决方案。这种方法允许在部署时实时生成和注入证书与凭证,减少了密钥的静态存储和分发需求,从而提升了整体系统的安全性。

Infisical 的核心优势在于其内部 PKI 功能,支持创建私有证书颁发机构(CA)层次结构。这使得团队能够动态生成 X.509 证书,用于 TLS 加密和身份验证。在工程实践中,首先需要配置根 CA 和中间 CA。根 CA 的路径长度设置为 -1 以允许无限中间层,而有效期建议为 10 年,以平衡安全性和管理开销。密钥算法推荐使用 ECDSA P-384,提供更高的性能和安全性。创建过程涉及指定组织名称(O)、国家代码(C)等 distinguished name(DN)字段,至少填充一个以确保证书的唯一性。

对于中间 CA 的 chaining,Infisical 自动化生成证书签名请求(CSR),使用根 CA 私钥签名后导入。这确保了证书链的完整性。实际参数包括:有效期不超过父 CA 的期限,路径长度小于父 CA(如根 CA 为 2,则中间为 1)。在微服务环境中,这些证书可用于服务间通信,例如为 Kubernetes Pod 注入 TLS 证书。Infisical 的 PKI Issuer for Kubernetes 进一步简化了这一过程,支持自动续期,阈值设置为证书到期前 30 天警报。

SSH 访问 provisioning 是 Infisical 在基础设施访问控制上的创新。它使用签名 SSH 证书取代长效密钥,提供短生命周期(建议 1-24 小时)的临时访问。这减少了密钥散布,并通过集中管理主机组实现细粒度控制。工程实现中,先注册主机到 Infisical,定义主机组如 “prod-servers”,然后为用户或服务身份颁发证书。证书绑定用户 ID 和权限模板,支持 RBAC 模型。例如,开发人员仅获读权限,而运维获 sudo 访问。

运行时注入依赖 Infisical Agent 或 Kubernetes Operator。Agent 无需修改应用代码,即可从 Infisical 拉取秘密并注入环境变量。对于微服务部署,配置 Agent 的轮询间隔为 5 分钟,超时阈值为 10 秒,确保高可用性。在 Docker 或 ECS 环境中,Agent 通过 sidecar 模式运行,注入动态生成的 PKI 证书和 SSH 凭证。清单包括:1. 安装 Agent(docker run infisical/agent);2. 配置 auth 方法(如 OIDC);3. 定义注入路径(如 /etc/secrets);4. 测试注入(curl localhost:port/secrets)。

审计跟踪是安全合规的核心。Infisical 记录 40+ 事件类型,包括证书颁发、SSH 连接和秘密访问。每条日志包含事件类型、演员元数据(用户 ID、IP)、时间戳。过滤器支持按日期或来源查询,便于事件审查。工程中,集成 ELK 栈导出日志,设置保留期 90 天。风险缓解包括:启用多因素认证(MFA)于 CA 操作,定期轮换根 CA 密钥(每 5 年),监控异常 IP 访问。

在实际部署中,考虑以下参数和清单以落地 Infisical:

PKI 配置参数:

  • 根 CA:有效期 3650 天,路径长度 -1,密钥 ECDSA P-384。
  • 中间 CA:有效期 1825 天,路径长度 1,DN: O=YourOrg, C=US。
  • 证书模板:要求 TTL < 90 天,自动撤销过期证书。

SSH Provisioning 清单:

  1. 创建 CA(UI 或 API: POST /v1/ca)。
  2. 注册主机(添加公钥到主机组)。
  3. 颁发证书(CLI: infisical ssh-cert issue --host prod-servers --ttl 1h)。
  4. 连接(ssh -i cert.pub user@host,使用私钥)。

注入与监控:

  • Agent 配置:环境变量 INFISICAL_PROJECT_ID=your_id, POLL_INTERVAL=300s。
  • 监控点:证书使用率 >80% 警报,SSH 失败率 >5% 触发调查。
  • 回滚策略:若注入失败,fallback 到静态 Vault,测试覆盖率 100%。

这种工程化方法不仅降低了攻击面,还提升了运维效率。Infisical 的开源性质允许自定义扩展,如集成 Prometheus 监控 PKI 健康。通过这些实践,团队可实现零信任微服务部署,确保秘密安全注入。

(字数约 950)" posts/2025/10/03/engineering-runtime-secrets-injection-with-infisical-dynamic-pki-and-ssh-provisioning.md