bhavenger Aug 2 2016 at 08:49

Как не хранить секреты где придётся, или зачем нам Hashicorp Vault

11 min

104K

*nix*DevOps*IT Infrastructure*Cloud computing*System administration*

Tutorial

+42

Comments 14

ls1 Aug 2 2016 at 10:28

ИМХО для столь серьёзного подхода сама идея иметь общие секреты порочна. Более правильно — индивидуальные учетки и централизованная система управления ими. Ну и RBAC разумеется для каждого сервиса.

bhavenger Aug 2 2016 at 11:36

Я не понимаю, как ваши слова противоречат статье и паттерну использования Vault.
Vault не запрещает гибко управлять доступами к секретам. Общность секретов — только в расположении secret/infra/whatever.
Вы можете и должны делать токены для доступа только к тем секретам, которые необходимы и достаточны для выполнения работ.
Например у вас есть сервис, который использует все секреты из secret/service_name и только jenkins_api_token из инфраструктурных секретов.

Вы можете сделать политику

path "secret/service_name/*" {  
  policy = "read"  
}

path "secret/infra/jenkins/api_token" {  
  policy = "read"  
}

И выдать токен, ограниченный только теми доступами, которые вам нужны.

ls1 Aug 2 2016 at 11:52

А, похоже я не верно понял юзкейс

VolCh Aug 2 2016 at 11:20

Сколько не смотрел в сторону разных хранилищ секретов для доступа к сервисам, всё равно клиенту нужен секрет для доступа к хранилищу секретов, который надо хранить рядом с клиентгм. Чего я не понимаю?

bhavenger Aug 2 2016 at 11:43

Так эти хранилища решают другие проблемы:
Аудит
Настраиваемая гибкость доступа к секретам
Обслуживание жизненного цикла секретов и доступов
Безопасность — это вообще сложная тема, тут нет серебряных пуль, которые сделают вашу систему безопасной. Только работа с рисками, только хардкор :)

questor Aug 2 2016 at 11:21

Можно ли из этого построить корпоративную базу паролей наподобие teampass или привязать teampass к такой базе?

bhavenger Aug 2 2016 at 11:44

Можно построить, только без веб-gui.

questor Aug 2 2016 at 11:49

Хм. Ценность teampass — именно в том, что все сотрудники получают удобный общий интерфейс для ввода/отображения паролей. Мне лично удобнее standalone-приложения (после keepass, который очищает буфер обмена как-то непривычно знать, что сайт не очистит пароль), но приходится пользоваться общими тулзами.

vaniaPooh Aug 2 2016 at 12:15

Без gui можно построить, используя Pass (обертка на 100 строчек вокруг GPG и Git).

sevmax Aug 2 2016 at 13:02

Автор, спасибо за материал! Недавно слышал положительные отзывы знакомых о данном продукте, а сейчас ваша статья освещает общие детали его использования.

Vayun Aug 2 2016 at 16:50

Количество ключей для распечатки хранилища:

Мало смысла делать отличным от 1. Админ с root доступом к машине на которой крутится unsealed vault может легко вытащить master key.

bhavenger Aug 2 2016 at 17:45

Так мы не от админа с рут-доступом защищаемся. Мы защищаемся от некоего злоумышленника, который мог получить доступ к хранилищу.

Vayun Aug 2 2016 at 17:55

Если кто-то получил доступ к данным хранилища, то без распечатывающего ключа они ничего с ними не сделают.

turbopower Aug 7 2016 at 00:54

вспомнил, как давным-давно возбужденный криптографией и идеей всё объединить, зашифровал все свои пароли под одним 25-значным и зачистил всё.
воспроизвести пароль второй раз так и не смог.