Управление секретами в сети предприятия

• HashiCorp Vault перехвален, а Mozilla SOPS вместе с KMS и Git неоправданно недооценены
• Одноразовые пароли для доступа по ssh через HashiCorp Vault
• Managing SSH access with Hashicorp Vault
• Как создавать Kubernetes секреты из Vault, используя external-secrets-operator
• Инъекция секретов из Vault в поды используя сайдкары Kubernetes
• Используем Hashicorp Vault для хранения секретов

• Что бы хранить что-то в секрете, или управлять доступом, нужно знать другой секрет. Но, как это сделать в автоматизированных системах предприятия? Вот откуда берутся пароли в файлах конфигурации/скриптах и не зашифрованные приватные ключи. Теперь все это окажется в прошлом, как решить дилемму “курицы и яйца”, при использовании чувствительных данных в пайплайнах предприятия, Вы узнаете на нашем вебинаре

• Развернуть HashiCorp Vault и Mozilla Sops для работы с секретами предприятия
• Интегрировать их с пайплайнами Ansible, Gitlab и Kubernetes

• Ютуб: https://youtu.be/-bK7e7IodWI
• Рутуб: https://rutube.ru/video/39004cb2231017de5a32e9ae74c7e7b9/
• Вк: https://vkvideo.ru/video-2190892_456239499

• Тэги: Ansible, Hashicorp, Vault, Git, Gitlab, CI/CD, transit, secrets, engine

• DevOps1. Основные инструменты: DNS + Vagrant (nodeN), GitLab + Runner + Ansible
• Роль OpenVPN сервера
• GitLab CI/CD Пример shell ansible

vagrant@node3:~$ sudo rm /etc/ssl/private/server.key

~/openvpn1# ansible-playbook openvpn1.yaml -i inventory.yaml -e "variable_host=test_nodes"

vagrant@node3:~$ sudo less /etc/ssl/private/server.key

• ansible-vault

vagrant@node1:~$ sudo rm /etc/ssl/private/server.key

• GitLab Пример shell ansible

vagrant@node1:~$ sudo less /etc/ssl/private/server.key

Недостатки:

1. если сменится пароль на узлы, надо перешифровывать значения в inventory
2. ключ шифрования не хранится (и не может быть изменен) централизованно, и не может быть предоставлен на ограниченное время

• Подготовка к следующему шагу:

~/openvpn1# ansible-vault decrypt openvpn1/files/server.key

• Hashicorp Vault
• KV secrets engine
• Vault policy для /secret/data/ansible/openvpn1
• Vault token

• Ansible и Hashicorp Vault

Недостатки:

• логин/пароль “лежат” в Vault, но, зная токен, их можно “украсть” с любой системы, откуда доступен Vault

• Vault auth token role
• Проводим curl тестирование из 3-го шага с server и gate
• Удаляем “небезопасный” Vault token
• Можно расширить bound_cidrs для auth/token/roles/ansible-openvpn1-role и убедиться, что это не повлияет на существующий токен
• Используем этот токнен в inventory решения Ansible и Hashicorp Vault

Недостатки:

• файл с приватным ключом остался в открытом виде

• Transit secrets engine
• Mozilla Sops и знакомство с UI Hashicorp Vault для редактирования Vault policy
• Ansible и SOPS

• GitLab Пример shell ansible

• Поиск чувствительных данных (паролей, ключей) в репозитории
• Удаление чувствительных данных (паролей, ключей) из репозитория
• Обсудить Создание сертификата сервиса, подписанного CA
• Показать Provision с использованием внешних скриптов

• Восстановить снимок, или Удалить проект в GitLab и все остальное

docker stop my-vault
docker rm my-vault

rm -rf /tmp/openvpn1/

rm /usr/local/bin/sops

apt purge jq python3-hvac git-filter-repo

server:~/openvpn1# cat openvpn1/tasks/main.yml

- name: Ping
  ping:

- name: Copy file server.key
  copy:
    src: server.key
    dest: /etc/ssl/private/server.key
    mode: '0600'

server:~/openvpn1# cat inventory.yaml

...
    ansible_ssh_user: student
    ansible_ssh_pass: password
    ansible_sudo_pass: password
...

server:~/openvpn1# cat openvpn1.yaml

...
      #when: node_nets...