alina_kocheva 28 июл 2020 в 14:28

Аутентификация и чтение секретов в HashiCorp's Vault через GitLab CI

6 мин

25K

Блог компании NixysИнформационная безопасность*IT-инфраструктура*Git*DevOps*

Туториал

Перевод

+18

Комментарии 19

НЛО прилетело и опубликовало эту надпись здесь

AlexGluck 28 июл 2020 в 17:18

Алина просто переводчик, думаю вам стоит попробовать самостоятельно интегрировать аудит с вашим решением. Мы сейчас работаем над полноценным внедрением, у нас планируется хранение PKI и секретов, аутентификация на базе АД и несколько вспомогательных механизмов для автоматизации.

НЛО прилетело и опубликовало эту надпись здесь

alina_kocheva 28 июл 2020 в 17:59

Нет, я инженер.

НЛО прилетело и опубликовало эту надпись здесь

alina_kocheva 28 июл 2020 в 17:59

Рада, что вам было полезно!

В нашей компании Vault используется уже достаточно давно, около года назад. В основном используем его, чтобы хранить именно секреты (пароли, ключи, сертификаты) для Kubernetes с возможностью их оперативного изменения и деплоя через GitLab CI. К помощи Vault Audit прибегаем редко, только если когда непосредственно посмотреть лог доступа за определенный период.

НЛО прилетело и опубликовало эту надпись здесь

alina_kocheva 29 июл 2020 в 08:35

В планах не было, но идея интересная, возможно, выпустим такую статью в ближайшее время.

tagirb 29 июл 2020 в 10:29

На работе мы перешли на Vault (3 x ECS-контейнера + DynamoDB на AWS) с gopass+gpg2+git чуть больше полугода назад. Vault — хорошая штука по многим аспектам:

скорость: судя по нагрузочным тестам, наш довольно скромный setup легко потянет тысячи запросов в секунду, как на чтение, так и на запись
интеграция: Terraform (само собой), Ansible, теперь вот и GitLab нативно и мн. др.
аутентификация/авторизация: удобная SSO-интеграция, роли и т.п.

Но вот что реально напрягает, так это отсутствие встроенного поиска. Есть несколько сторонних проектов, реализующих поиск на клиентской стороне путём обхода всего дерева, но, блин, это как-то тупо. Понятно, что поиск — это не просто так, что каждая policy задаёт ограничения на то, где и что можно искать и показывать. Но, всё-таки, без поиска жить очень неудобно.

НЛО прилетело и опубликовало эту надпись здесь

tagirb 30 июл 2020 в 23:21

Нет, извините :). Чем мог, уже поделился в комментарии :))

pnovikov 29 июл 2020 в 10:07

Что-то как-то не очень понятно — а от чего защищаемся-то? Что и от кого пытаемся скрыть?
А то пока что выглядит как театр безопасности.

-3

НЛО прилетело и опубликовало эту надпись здесь

pnovikov 29 июл 2020 в 19:32

То есть по сути дела мы защищаем пароли от production-а от своих собственных сотрудников?

НЛО прилетело и опубликовало эту надпись здесь

Vadimus_Litovus 29 июл 2020 в 14:09

Кстати после этой статьи может возникнуть вопрос как передавать секреты между стейджами.
Кроме как использовать кэш не нашел ничего.

НЛО прилетело и опубликовало эту надпись здесь

Vadimus_Litovus 30 июл 2020 в 15:35

можно и так, но надо пакет vault ставить каждый раз
было бы удобнее один раз всё определить

Зарегистрируйтесь на Хабре, чтобы оставить комментарий