PHP - 如何缓存从 AWS KMS Parameter Store 检索的数据库凭证

Posted 2023-02-24

【中文标题】PHP - 如何缓存从 AWS KMS Parameter Store 检索的数据库凭证

【英文标题】：PHP - How to cache database credentials retrieved from AWS KMS Parameter Store

【发布时间】：2021-06-29 19:15:27

【问题描述】：

我正在运行一个 php 应用程序，该应用程序使用用户名和密码连接到 RDS 数据库以向客户端提供数据。 使用 AWS SSM 客户端从 AWS KMS 检索用户名和密码作为加密字符串。 我对 PHP 应用程序的每个请求都执行此操作，以打开与数据库的连接。

所以流程看起来像这样

传入请求 -> 从 AWS 检索数据库凭证 -> 打开数据库连接 -> 查询 -> 返回数据

在此流程中，每个请求都会发送到 AWS 以获取数据库凭证，使用 KMS 对安全字符串进行解密，最终结果是 KMS 的高使用率导致更高的账单。 它还会为每个 API 请求引入延迟。

我想知道是否有一些 PHP 缓存库可以用来在 EC2 实例本地安全地存储凭据，这样我就不需要一直获取它。

我阅读了很多论坛，我看到有些人说将它们存储在 root 之外的文件中，甚至 .env 之外的 root 也可以，其他人说使用 memcache，但大多数人们说缓存凭据只是一种不可行的模式。

我知道没有 100% 安全这样的事情，但是任何关于缓存凭据的建议以及用于 PHP 的流行工具是什么，我们将不胜感激。

【问题讨论】：

RDS Proxy的使用怎么样？这样您就不需要为每个新请求都重新连接？

【参考方案1】：

也许您可以将您的凭据存储在快速访问的 Redis 实例中，这样您就不会不断地访问 KMS 和 SSM Parameter Store 服务，但在这种情况下，我建议您在 Redis 中设置一个非常低的 TTL，这样这些凭据可以在短时间内失效，以避免任何安全事件。使用此解决方案，您可以实现一个始终从 redis 请求凭据的 Singlenton 模式，如果您没有这些凭据，则从 SSM 请求它们并临时存储它们以供以后使用。

** redis 实例应与服务器/应用程序具有直接信任关系，以缓解安全事件。

【讨论】：

感谢您的推荐。我尝试了 Redis，它工作得很好。我喜欢缓存数据保留在内存中而不是在任何地方持久化的事实。你能给我一些关于黑客如何访问 Redis 以获取缓存数据的想法/建议吗？我的服务器位于 ALB 后面，不向公众开放。我假设他们需要进入服务器才能访问 Redis，但是如果是这种情况，他们将能够运行 SSM 以获取任何数据吗？所以你会说在我的情况下，Redis 非常安全吗？

您好，例如，如果您的整个解决方案都在 AWS 上，那么一种非常真实的攻击形式是黑客窃取凭证并连接到 AWS 控制台，从该攻击向量黑客无法访问您的 EC2 实例，因为它们不能拥有 .pem 文件，但如果您的 Redis 服务未经过身份验证，它可以创建连接到 Redis 并获取其托管的所有信息的 Lambda / Ec2 服务。我知道这听起来有点偏执，但如果你的解决方案是针对一家大公司的，你就会知道这是经常发生的事情。

【参考方案2】：

原来高额费用是由于有太多使用 KMS 进行解密的安全字符串参数造成的。 我将大部分参数转换为普通字符串类型，仅将敏感字符串保留为加密类型，从而整体减少了 KMS 的使用。 在 AWS 文档中，我忽略了它指出“Parameter Store 不收取创建 SecureString 参数的费用，但使用 AWS KMS 加密的费用确实适用” 同样对于缓存库，我发现 phpfastcache 真的很容易使用。不过，我决定暂时保持这种方式，因为 KMS 的定价在 KMS 使用量减少的情况下似乎合理。