alina_kocheva Jul 28 2020 at 14:28

Аутентификация и чтение секретов в HashiCorp's Vault через GitLab CI

6 min

23K

Nixys corporate blogInformation Security*IT Infrastructure*Git*DevOps*

Tutorial

Translation

+18

Comments 19

UFO just landed and posted this here

AlexGluck Jul 28 2020 at 17:18

Алина просто переводчик, думаю вам стоит попробовать самостоятельно интегрировать аудит с вашим решением. Мы сейчас работаем над полноценным внедрением, у нас планируется хранение PKI и секретов, аутентификация на базе АД и несколько вспомогательных механизмов для автоматизации.

UFO just landed and posted this here

alina_kocheva Jul 28 2020 at 17:59

Нет, я инженер.

UFO just landed and posted this here

alina_kocheva Jul 28 2020 at 17:59

Рада, что вам было полезно!

В нашей компании Vault используется уже достаточно давно, около года назад. В основном используем его, чтобы хранить именно секреты (пароли, ключи, сертификаты) для Kubernetes с возможностью их оперативного изменения и деплоя через GitLab CI. К помощи Vault Audit прибегаем редко, только если когда непосредственно посмотреть лог доступа за определенный период.

UFO just landed and posted this here

alina_kocheva Jul 29 2020 at 08:35

В планах не было, но идея интересная, возможно, выпустим такую статью в ближайшее время.

tagirb Jul 29 2020 at 10:29

На работе мы перешли на Vault (3 x ECS-контейнера + DynamoDB на AWS) с gopass+gpg2+git чуть больше полугода назад. Vault — хорошая штука по многим аспектам:

скорость: судя по нагрузочным тестам, наш довольно скромный setup легко потянет тысячи запросов в секунду, как на чтение, так и на запись
интеграция: Terraform (само собой), Ansible, теперь вот и GitLab нативно и мн. др.
аутентификация/авторизация: удобная SSO-интеграция, роли и т.п.

Но вот что реально напрягает, так это отсутствие встроенного поиска. Есть несколько сторонних проектов, реализующих поиск на клиентской стороне путём обхода всего дерева, но, блин, это как-то тупо. Понятно, что поиск — это не просто так, что каждая policy задаёт ограничения на то, где и что можно искать и показывать. Но, всё-таки, без поиска жить очень неудобно.

UFO just landed and posted this here

tagirb Jul 30 2020 at 23:21

Нет, извините :). Чем мог, уже поделился в комментарии :))

pnovikov Jul 29 2020 at 10:07

Что-то как-то не очень понятно — а от чего защищаемся-то? Что и от кого пытаемся скрыть?
А то пока что выглядит как театр безопасности.

-3

UFO just landed and posted this here

pnovikov Jul 29 2020 at 19:32

То есть по сути дела мы защищаем пароли от production-а от своих собственных сотрудников?

UFO just landed and posted this here

Vadimus_Litovus Jul 29 2020 at 14:09

Кстати после этой статьи может возникнуть вопрос как передавать секреты между стейджами.
Кроме как использовать кэш не нашел ничего.

UFO just landed and posted this here

Vadimus_Litovus Jul 30 2020 at 15:35

можно и так, но надо пакет vault ставить каждый раз
было бы удобнее один раз всё определить