S
управляй рисками
Size: a a a
2019 January 11
YS
А как уже безопасность)))))
Обеспечивать иными средствами. В смысле тут суть в том что волт будет жить после падения
Однако, и об этом говорили на презентации, запечатывание при наличии доступа на сервер не имеет значения, т.к. перезапуск сервиса даст распечатанный волт
Однако, и об этом говорили на презентации, запечатывание при наличии доступа на сервер не имеет значения, т.к. перезапуск сервиса даст распечатанный волт
AA
Возвращаясь к нашим токенам.
Вот сейчас у меня есть Ансибль-плейбук и пароли зашифрованные через ansible-vault. Ансибль я запускаю в дженкинсе или в gitlab-ci. У них в переменных окружения хранится пароль для рассшифровывания файла секретов.
Я нажимаю Run или коммит в гит и всё работает.
Как мне с минимумом трудозатрат перенести хранение паролей в Хашикопр Волт, при этому что-бы я точно так же нажимал Run и ничего никуда не вводил каждый раз?
Вот сейчас у меня есть Ансибль-плейбук и пароли зашифрованные через ansible-vault. Ансибль я запускаю в дженкинсе или в gitlab-ci. У них в переменных окружения хранится пароль для рассшифровывания файла секретов.
Я нажимаю Run или коммит в гит и всё работает.
Как мне с минимумом трудозатрат перенести хранение паролей в Хашикопр Волт, при этому что-бы я точно так же нажимал Run и ничего никуда не вводил каждый раз?
YS
Возвращаясь к нашим токенам.
Вот сейчас у меня есть Ансибль-плейбук и пароли зашифрованные через ansible-vault. Ансибль я запускаю в дженкинсе или в gitlab-ci. У них в переменных окружения хранится пароль для рассшифровывания файла секретов.
Я нажимаю Run или коммит в гит и всё работает.
Как мне с минимумом трудозатрат перенести хранение паролей в Хашикопр Волт, при этому что-бы я точно так же нажимал Run и ничего никуда не вводил каждый раз?
Вот сейчас у меня есть Ансибль-плейбук и пароли зашифрованные через ansible-vault. Ансибль я запускаю в дженкинсе или в gitlab-ci. У них в переменных окружения хранится пароль для рассшифровывания файла секретов.
Я нажимаю Run или коммит в гит и всё работает.
Как мне с минимумом трудозатрат перенести хранение паролей в Хашикопр Волт, при этому что-бы я точно так же нажимал Run и ничего никуда не вводил каждый раз?
Если я правильно понимаю: цель не хранить реквизиты на хосте в виде конфигов или переменных окружения. В таком случае само приложение должно уметь сходить в волт за реквизитами или к какому-то другому секретовладетелю.
YS
Из памяти сложней выдрать нужные данные
S
верно
S
риски полностью не устраняются, но можно снизить до приемлемого уровня
YS
Если я правильно понимаю: цель не хранить реквизиты на хосте в виде конфигов или переменных окружения. В таком случае само приложение должно уметь сходить в волт за реквизитами или к какому-то другому секретовладетелю.
И если вопрос в том что поправить в сборках - выдачу каких-то стартовых реквизитов, которые временные. Т.е. если ими завлодеет зловред, то толку от них 0.
С
у ансибла есть плагин для чтения секретов из хашикорп волта
С
чтобы ходить в волт нужен токен, поэтому в дженкинс надо научиться доставлять этот токен
AA
Ну вот есть приложение Ансибль который умеет ходть в Волт кучей способов: через токен, approle, userpass и т.д.
И выходит, что самый удобный способ использовать старый добрый userpass.
И вот с этого я начал: зачем они наворотили эти протухающие токены и агенты которые их продляют, если всё равно где-то будет лежать логин/пароль.
И выходит, что самый удобный способ использовать старый добрый userpass.
И вот с этого я начал: зачем они наворотили эти протухающие токены и агенты которые их продляют, если всё равно где-то будет лежать логин/пароль.
С
если можешь хранить секреты сразу в дженкинсе, никто ж не запрещает
С
равно как и остаться на ansible vault
С
если хашиволт не даёт профита, то и не надо его юзать
YS
Как я уже использую approle:
secret_id_num_uses=1
sercret_id_ttl=2m
я могу выдать secret_id приложению. Свою роль оно уже знает. Приложение авторизуется в волте и даее само обновляет свой токен.
Не представляю как узнать какой токен у приложения. Если приложение перестанет продлевать токен - он протухнет и никто не упрёт мои никому не нужные секреты.
secret_id_num_uses=1
sercret_id_ttl=2m
я могу выдать secret_id приложению. Свою роль оно уже знает. Приложение авторизуется в волте и даее само обновляет свой токен.
Не представляю как узнать какой токен у приложения. Если приложение перестанет продлевать токен - он протухнет и никто не упрёт мои никому не нужные секреты.
YS
если хашиволт не даёт профита, то и не надо его юзать
А вот это про любой инструмент можно сказать. Например k8s не оч нужен для сайта визитки или магазина на вордпрессе.
AA
А secret-id он же тоже тухнет как токены?
S
а вообще, для сервисов нужно использовать механизм AppRole, так как получение секрета в один шаг через токен - так себе схема
YS
А secret-id он же тоже тухнет как токены?
по умолчанию - нет. Дефолтное значение 0, но можно установить число отличное от 0 и будет протухать