SlideShare a Scribd company logo

Олег Миколайченко "Как перестать хранить секреты в git и начать использовать Hashicorp Vault"

Fwdays, profile picture
Fwdays

Доклад Олега Миколаиченко посвящен внедрению HashiCorp Vault для безопасного управления секретами в компании. Он рассматривает проблемы хранения паролей в репозиториях и предлагает решение с использованием Vault, которое обеспечивает централизацию, гибкий доступ и эффективные рабочие процессы. В докладе также обсуждаются интеграции с популярными инструментами, примеры реализации и практические рекомендации по использованию Vault в разных экосистемах.

Technology
1 of 56
Downloaded 30 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать Hashicorp Vault"
Oleg Mykolaichenko ● веду DevOps дайджест на DOU ● пишу на Хабре ● тусуюсь в UkrOps community ● строю инфраструктуры и автоматизацию ● работал в крупнейшей гемблинговой компани, плавал в зубодробильном стартапе ● цитирую Джеза Хамбла и Мартина Фаулера
Цель доклада ● расшарить опыт по выпиливанию паролей из репозов ● дать всю информацию, нужную для успешного внедрения Hashicorp Vault ● сделать акцент на практическом применении ● рассмотреть крутые практики для модных ребят ● стимулировать имплементацию в Вашей компании и команде
Откуда пришла проблема ● мы искали коллегу ● прособеседовали 50+ DevOps Engineers ● все согласны что хранить секреты в репе это плохо ● никто ничего не делает ● но все примерно знают что делать
Но почему? ● с низким приоритетом ● занимает много времени ● сложно разворачивать ● сложно поддерживать ● шапочка из фольги
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать Hashicorp Vault"
В чем проблема #1
В чем проблема #2
В чем проблема #3
Что думает кто-то из интернета
Что пишет Джез Хамбл
Как проблема выглядит в реальной жизни
Реальная жизнь #1 1. приходит новый сотрудник в компанию 2. ему дают доступ в репозиторий приложения 3. он сразу видит все пароли/токены/сертификаты на все сервисы для всех инвайроментов 4. это печально нет ACL ACL - Access Control List, который определяет кто и куда имеет доступ
Реальная жизнь #2 1. сотрудник уходит из компании 2. он знал все пароли/токены/сертификаты 3. эти секреты никто не меняет, т.к. не понятно в каких местах и что было на них завязано, и что поломается 4. доступы сотрудника не удаляют, потому что на него тоже навешано очень много интеграций 5. это печально нет единого места управления
Реальная жизнь #3 1. приходит сотрудник, и просит дать ему доступ в прод БД, потому что ему какую-то таску делать 2. кто-то заходит в Excel табличку, ищет пароль, копирует, отправляет его в Slack 3. это очень печально нет workflow и договоренностей
Уточняем у СТО действительно ли это проблема для бизнеса
Что сказал СТО Это проблема Найдите адекватное решение И уберите пароли из репозиториев
Сбор требований
Что нам нужно 1. Центральное место управления секретами 2. Гибкие ACL для команды/инвайромента/процесса 3. Интеграция с тулзами, которые мы используем 4. Адекватный UI/CLI интерфейс 5. Придумать workflow и договоренности 6. И чтобы это было безопасно
Что нам нужно 1. Центральное место управления секретами 2. Гибкие ACL для команды/инвайромента/процесса 3. Интеграция с тулзами, которые мы используем 4. Адекватный UI/CLI интерфейс 5. Придумать workflow и договоренности 6. И чтобы это было безопасно Давайте искать решение!
Ищем решения
TOP3: что не подходит - git-crypt https://github.com/AGWA/git-crypt 1. нет центрального места 2. нет ACL 3. нет workflow 4. в принципе можно заинтегрить с тулзами 5. вроде безопасно
TOP3: что не подходит - git-secret https://github.com/sobolevn/git-sec ret 1. почти то же, что и git-crypt 2. но есть ACL
TOP3: что не подходит - pass https://git.zx2c4.com/password-store 1. Unix-way 2. вроде даже интегрируется с тулзами 3. плагины накручивают ACL 4. даже можно с этим жить 5. но …
Подождите Ведь везде есть какие-то штуки, которые умеют шифровать! Например: 1. в Chef - databags 2. в Docker - secrets 3. в Puppet - hierra-gpg 4. в тулзе X - что-то тоже есть
Но … Проблем будет еще больше! А как сделать, чтобы проблем было меньше?
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать Hashicorp Vault"
Hashicorp Vault 1. self-hosted хранилище для любых секретов 2. 100500 плагинов и модулей на все тулзы и языки программирования 3. написан на Golang 4. > 7626 звезд на Github 5. > 1000 форков на Github 6. self-driven архитектура 7. JSON API 8. Completely free and open source
Вспоминаем, что нам нужно 1. Центральное место управления секретами - Да 2. Гибкие ACL для команды/инвайромента - Да 3. Workflow и договоренности - Договоримся 4. Интеграция с тулзами, которые мы используем - Есть 5. Адекватный UI/CLI интерфейс - Есть 6. И чтобы это было безопасно - Безопасно
Приходим с решением к СТО
Еще требования от СТО 1. Не должно быть Single Point of Failure 2. Должен быть HA
Что получилось
Что получилось чуть позже Это сервисы ходят в Vault за секретами
Что такое “бэкенд” в Hashicorp Vault
Vault: generic бекенд - древовидная структура - key-value внутри Записываем секрет
Vault: generic бекенд - древовидная структура - key-value внутри Читаем секрет
Вариант реализации структуры путей Визуализация структуры:
Вариант реализации структуры путей $company/$application/$service/$environment/secret Например: - macpaw/setapp/mongo/dbe/db_user - macpaw/setapp/mongo/uat/db_user - macpaw/setapp/mongo/prod/db_user
Как работать с ACL
Как использовать в Ansible 1. Подключить плагин: https://github.com/jhaals/ansible-vault 2. Плагин - это абстракция над Vault JSON API 3. Синтаксис для *.yml и *.j2: {{ lookup('vault', 'macpaw/setapp/dev/mongo/db_user').username }}
Как использовать в Ansible 1. Подключить плагин: https://github.com/jhaals/ansible-vault 2. Плагин - это абстракция над Vault JSON API 3. Синтаксис для *.yml и *.j2: {{ lookup('vault', 'macpaw/setapp/dev/mongo/db_user').username }}
Как использовать в Chef 1. Подключить плагин: https://github.com/hashicorp/vault-ruby 2. Синтаксис для рецептов:
Как использовать в Chef 1. Подключить плагин: https://github.com/hashicorp/vault-ruby 2. Синтаксис для рецептов:
Как использовать в Terraform
Как использовать в Terraform
Как использовать в приложении
Как использовать в Consul-template
Как дружить с Kubernetes #1 В двух словах не расскажешь Но дружить можно: https://github.com/Boostport/kubernetes-vault И это тема для отдельной презентации
Как дружить с Kubernetes #2 Если очень интересно, то вот она, отдельная презентация: https://www.slideshare.net/profyclub_ru/kubernetes-hashicorp-vault-avito
Как использовать в экосистеме Hashicorp Нативно, это же один технологический стек
Давай уже что-то интересное!
Продвинутые практики Для серьезных ребят
Динамический доступ в AWS 1. Создаем aws backend 2. Добавляем доступы в AWS 3. Генерим динамические креды
Тоже очень круто - динамический временный доступ в базейки - динамический ssh доступ (OTP) Работает по аналогии как и с AWS в первом примере
Что делать дальше ● имплементить у себя Hashicorp Vault ● шифтить его в команде и компании ● пользоваться всемы бенефитами и удобностями ● после доклада написать в резюме “Hashicorp Vault” ● делать вашу IaC еще лучше!
Я Олег - ukrops.club - dou.ua/users/oleg-mikolaychenko/articles - habrahabr.ru/users/mukolaich/posts - instagram.com/mykolaichenko

More Related Content

PPTX
Как перестать хранить секреты в git и начать использовать Hashicorp Vault
Oleg Mykolaichenko
 
PDF
Никита Галкин "Ловушки микросервисной архитектуры"
Fwdays
 
PDF
Jbreak 2016: Твой личный Spring Boot Starter
Aleksandr Tarasov
 
PPTX
Micro orm для жизни. Кожевников Дмитрий D2D Just.NET
Dev2Dev
 
PPT
Let's Talk About Junit 5
SQALab
 
PDF
Артём Ерошенко «Рецепт приготовления облачных тестингов»
WrikeTechClub
 
PDF
Хайлоад и безопасность в мире DevOps: совместимы ли? / Юрий Колесов (security...
Ontico
 
PDF
Расширь границы возможного вместе с Gradle
Aleksandr Tarasov
 
Как перестать хранить секреты в git и начать использовать Hashicorp Vault
Oleg Mykolaichenko
 
Никита Галкин "Ловушки микросервисной архитектуры"
Fwdays
 
Jbreak 2016: Твой личный Spring Boot Starter
Aleksandr Tarasov
 
Micro orm для жизни. Кожевников Дмитрий D2D Just.NET
Dev2Dev
 
Let's Talk About Junit 5
SQALab
 
Артём Ерошенко «Рецепт приготовления облачных тестингов»
WrikeTechClub
 
Хайлоад и безопасность в мире DevOps: совместимы ли? / Юрий Колесов (security...
Ontico
 
Расширь границы возможного вместе с Gradle
Aleksandr Tarasov
 

What's hot (20)

PDF
микроСЕРВИСЫ: огонь, вода и медные трубы
Aleksandr Tarasov
 
PDF
Как это будет: ASP.NET Core
DotNetConf
 
PDF
Хипстеры в энтерпрайзе
Aleksandr Tarasov
 
PDF
Joker 2015. WILD microSERVICES
Aleksandr Tarasov
 
PDF
Selenium grid on-demand
SQALab
 
PPT
Инструментация среды исполнения в арсенале тестировщика
SQALab
 
PDF
Олег Бартунов и Иван Панченко
CodeFest
 
PDF
Zabbix и правильное обнаружение проблем - Алексей Владышев @ RootConf 2015
Zabbix
 
POTX
Разработка надежных параллельных, распределенных приложений: быстро и дешево
DotNetConf
 
PPT
ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)
Pavel Tsukanov
 
PDF
Yehor Nazarkin "Journey to the distributed task queue"
OdessaPyConference
 
PDF
Continuous Delivery with Jenkins: Lessons Learned
Aleksandr Tarasov
 
PDF
Deployment to production with an unexpected load
Grid Dynamics
 
PDF
Anton Tsitou "Cycle ORM and Graphs"
Fwdays
 
PPTX
Производительность open source решений
Vladimir Sitnikov
 
PDF
Как приручить реактивное программирование
DotNetConf
 
PDF
Эффективная отладка репликации MySQL / Света Смирнова (Percona)
Ontico
 
PDF
D2D Pizza JS Илья Беда "Куда мы все катимся?"
Dev2Dev
 
PDF
Многопоточное программирование на C#, путевые заметки
DotNetConf
 
PPTX
Selenium grid. OK version
Nikita Makarov
 
микроСЕРВИСЫ: огонь, вода и медные трубы
Aleksandr Tarasov
 
Как это будет: ASP.NET Core
DotNetConf
 
Хипстеры в энтерпрайзе
Aleksandr Tarasov
 
Joker 2015. WILD microSERVICES
Aleksandr Tarasov
 
Selenium grid on-demand
SQALab
 
Инструментация среды исполнения в арсенале тестировщика
SQALab
 
Олег Бартунов и Иван Панченко
CodeFest
 
Zabbix и правильное обнаружение проблем - Алексей Владышев @ RootConf 2015
Zabbix
 
Разработка надежных параллельных, распределенных приложений: быстро и дешево
DotNetConf
 
ORM технологии в .NET (Nhibernate, Linq To SQL, Entity Framework)
Pavel Tsukanov
 
Yehor Nazarkin "Journey to the distributed task queue"
OdessaPyConference
 
Continuous Delivery with Jenkins: Lessons Learned
Aleksandr Tarasov
 
Deployment to production with an unexpected load
Grid Dynamics
 
Anton Tsitou "Cycle ORM and Graphs"
Fwdays
 
Производительность open source решений
Vladimir Sitnikov
 
Как приручить реактивное программирование
DotNetConf
 
Эффективная отладка репликации MySQL / Света Смирнова (Percona)
Ontico
 
D2D Pizza JS Илья Беда "Куда мы все катимся?"
Dev2Dev
 
Многопоточное программирование на C#, путевые заметки
DotNetConf
 
Selenium grid. OK version
Nikita Makarov
 
Ad

More from Fwdays (20)

PDF
"Mastering UI Complexity: State Machines and Reactive Patterns at Grammarly",...
Fwdays
 
PDF
"Effect, Fiber & Schema: tactical and technical characteristics of Effect.ts"...
Fwdays
 
PPTX
"Computer Use Agents: From SFT to Classic RL", Maksym Shamrai
Fwdays
 
PPTX
"Як ми переписали Сільпо на Angular", Євген Русаков
Fwdays
 
PDF
"AI Transformation: Directions and Challenges", Pavlo Shaternik
Fwdays
 
PDF
"Validation and Observability of AI Agents", Oleksandr Denisyuk
Fwdays
 
PPTX
"Autonomy of LLM Agents: Current State and Future Prospects", Oles` Petriv
Fwdays
 
PDF
"Beyond English: Navigating the Challenges of Building a Ukrainian-language R...
Fwdays
 
PPTX
"Co-Authoring with a Machine: What I Learned from Writing a Book on Generativ...
Fwdays
 
PPTX
"Human-AI Collaboration Models for Better Decisions, Faster Workflows, and Cr...
Fwdays
 
PDF
"AI is already here. What will happen to your team (and your role) tomorrow?"...
Fwdays
 
PPTX
"Is it worth investing in AI in 2025?", Alexander Sharko
Fwdays
 
PDF
''Taming Explosive Growth: Building Resilience in a Hyper-Scaled Financial Pl...
Fwdays
 
PDF
"Scaling in space and time with Temporal", Andriy Lupa.pdf
Fwdays
 
PDF
"Database isolation: how we deal with hundreds of direct connections to the d...
Fwdays
 
PDF
"Scaling in space and time with Temporal", Andriy Lupa .pdf
Fwdays
 
PPTX
"Provisioning via DOT-Chain: from catering to drone marketplaces", Volodymyr ...
Fwdays
 
PPTX
" Observability with Elasticsearch: Best Practices for High-Load Platform", A...
Fwdays
 
PPTX
"How to survive Black Friday: preparing e-commerce for a peak season", Yurii ...
Fwdays
 
PPTX
"Istio Ambient Mesh in production: our way from Sidecar to Sidecar-less",Hlib...
Fwdays
 
"Mastering UI Complexity: State Machines and Reactive Patterns at Grammarly",...
Fwdays
 
"Effect, Fiber & Schema: tactical and technical characteristics of Effect.ts"...
Fwdays
 
"Computer Use Agents: From SFT to Classic RL", Maksym Shamrai
Fwdays
 
"Як ми переписали Сільпо на Angular", Євген Русаков
Fwdays
 
"AI Transformation: Directions and Challenges", Pavlo Shaternik
Fwdays
 
"Validation and Observability of AI Agents", Oleksandr Denisyuk
Fwdays
 
"Autonomy of LLM Agents: Current State and Future Prospects", Oles` Petriv
Fwdays
 
"Beyond English: Navigating the Challenges of Building a Ukrainian-language R...
Fwdays
 
"Co-Authoring with a Machine: What I Learned from Writing a Book on Generativ...
Fwdays
 
"Human-AI Collaboration Models for Better Decisions, Faster Workflows, and Cr...
Fwdays
 
"AI is already here. What will happen to your team (and your role) tomorrow?"...
Fwdays
 
"Is it worth investing in AI in 2025?", Alexander Sharko
Fwdays
 
''Taming Explosive Growth: Building Resilience in a Hyper-Scaled Financial Pl...
Fwdays
 
"Scaling in space and time with Temporal", Andriy Lupa.pdf
Fwdays
 
"Database isolation: how we deal with hundreds of direct connections to the d...
Fwdays
 
"Scaling in space and time with Temporal", Andriy Lupa .pdf
Fwdays
 
"Provisioning via DOT-Chain: from catering to drone marketplaces", Volodymyr ...
Fwdays
 
" Observability with Elasticsearch: Best Practices for High-Load Platform", A...
Fwdays
 
"How to survive Black Friday: preparing e-commerce for a peak season", Yurii ...
Fwdays
 
"Istio Ambient Mesh in production: our way from Sidecar to Sidecar-less",Hlib...
Fwdays
 
Ad

Олег Миколайченко "Как перестать хранить секреты в git и начать использовать Hashicorp Vault"

  • 2. Oleg Mykolaichenko ● веду DevOps дайджест на DOU ● пишу на Хабре ● тусуюсь в UkrOps community ● строю инфраструктуры и автоматизацию ● работал в крупнейшей гемблинговой компани, плавал в зубодробильном стартапе ● цитирую Джеза Хамбла и Мартина Фаулера
  • 3. Цель доклада ● расшарить опыт по выпиливанию паролей из репозов ● дать всю информацию, нужную для успешного внедрения Hashicorp Vault ● сделать акцент на практическом применении ● рассмотреть крутые практики для модных ребят ● стимулировать имплементацию в Вашей компании и команде
  • 4. Откуда пришла проблема ● мы искали коллегу ● прособеседовали 50+ DevOps Engineers ● все согласны что хранить секреты в репе это плохо ● никто ничего не делает ● но все примерно знают что делать
  • 5. Но почему? ● с низким приоритетом ● занимает много времени ● сложно разворачивать ● сложно поддерживать ● шапочка из фольги
  • 10. Что думает кто-то из интернета
  • 12. Как проблема выглядит в реальной жизни
  • 13. Реальная жизнь #1 1. приходит новый сотрудник в компанию 2. ему дают доступ в репозиторий приложения 3. он сразу видит все пароли/токены/сертификаты на все сервисы для всех инвайроментов 4. это печально нет ACL ACL - Access Control List, который определяет кто и куда имеет доступ
  • 14. Реальная жизнь #2 1. сотрудник уходит из компании 2. он знал все пароли/токены/сертификаты 3. эти секреты никто не меняет, т.к. не понятно в каких местах и что было на них завязано, и что поломается 4. доступы сотрудника не удаляют, потому что на него тоже навешано очень много интеграций 5. это печально нет единого места управления
  • 15. Реальная жизнь #3 1. приходит сотрудник, и просит дать ему доступ в прод БД, потому что ему какую-то таску делать 2. кто-то заходит в Excel табличку, ищет пароль, копирует, отправляет его в Slack 3. это очень печально нет workflow и договоренностей
  • 16. Уточняем у СТО действительно ли это проблема для бизнеса
  • 17. Что сказал СТО Это проблема Найдите адекватное решение И уберите пароли из репозиториев
  • 19. Что нам нужно 1. Центральное место управления секретами 2. Гибкие ACL для команды/инвайромента/процесса 3. Интеграция с тулзами, которые мы используем 4. Адекватный UI/CLI интерфейс 5. Придумать workflow и договоренности 6. И чтобы это было безопасно
  • 20. Что нам нужно 1. Центральное место управления секретами 2. Гибкие ACL для команды/инвайромента/процесса 3. Интеграция с тулзами, которые мы используем 4. Адекватный UI/CLI интерфейс 5. Придумать workflow и договоренности 6. И чтобы это было безопасно Давайте искать решение!
  • 22. TOP3: что не подходит - git-crypt https://github.com/AGWA/git-crypt 1. нет центрального места 2. нет ACL 3. нет workflow 4. в принципе можно заинтегрить с тулзами 5. вроде безопасно
  • 23. TOP3: что не подходит - git-secret https://github.com/sobolevn/git-sec ret 1. почти то же, что и git-crypt 2. но есть ACL
  • 24. TOP3: что не подходит - pass https://git.zx2c4.com/password-store 1. Unix-way 2. вроде даже интегрируется с тулзами 3. плагины накручивают ACL 4. даже можно с этим жить 5. но …
  • 25. Подождите Ведь везде есть какие-то штуки, которые умеют шифровать! Например: 1. в Chef - databags 2. в Docker - secrets 3. в Puppet - hierra-gpg 4. в тулзе X - что-то тоже есть
  • 26. Но … Проблем будет еще больше! А как сделать, чтобы проблем было меньше?
  • 28. Hashicorp Vault 1. self-hosted хранилище для любых секретов 2. 100500 плагинов и модулей на все тулзы и языки программирования 3. написан на Golang 4. > 7626 звезд на Github 5. > 1000 форков на Github 6. self-driven архитектура 7. JSON API 8. Completely free and open source
  • 29. Вспоминаем, что нам нужно 1. Центральное место управления секретами - Да 2. Гибкие ACL для команды/инвайромента - Да 3. Workflow и договоренности - Договоримся 4. Интеграция с тулзами, которые мы используем - Есть 5. Адекватный UI/CLI интерфейс - Есть 6. И чтобы это было безопасно - Безопасно
  • 31. Еще требования от СТО 1. Не должно быть Single Point of Failure 2. Должен быть HA
  • 33. Что получилось чуть позже Это сервисы ходят в Vault за секретами
  • 35. Vault: generic бекенд - древовидная структура - key-value внутри Записываем секрет
  • 36. Vault: generic бекенд - древовидная структура - key-value внутри Читаем секрет
  • 37. Вариант реализации структуры путей Визуализация структуры:
  • 38. Вариант реализации структуры путей $company/$application/$service/$environment/secret Например: - macpaw/setapp/mongo/dbe/db_user - macpaw/setapp/mongo/uat/db_user - macpaw/setapp/mongo/prod/db_user
  • 40. Как использовать в Ansible 1. Подключить плагин: https://github.com/jhaals/ansible-vault 2. Плагин - это абстракция над Vault JSON API 3. Синтаксис для *.yml и *.j2: {{ lookup('vault', 'macpaw/setapp/dev/mongo/db_user').username }}
  • 41. Как использовать в Ansible 1. Подключить плагин: https://github.com/jhaals/ansible-vault 2. Плагин - это абстракция над Vault JSON API 3. Синтаксис для *.yml и *.j2: {{ lookup('vault', 'macpaw/setapp/dev/mongo/db_user').username }}
  • 42. Как использовать в Chef 1. Подключить плагин: https://github.com/hashicorp/vault-ruby 2. Синтаксис для рецептов:
  • 43. Как использовать в Chef 1. Подключить плагин: https://github.com/hashicorp/vault-ruby 2. Синтаксис для рецептов:
  • 46. Как использовать в приложении
  • 48. Как дружить с Kubernetes #1 В двух словах не расскажешь Но дружить можно: https://github.com/Boostport/kubernetes-vault И это тема для отдельной презентации
  • 49. Как дружить с Kubernetes #2 Если очень интересно, то вот она, отдельная презентация: https://www.slideshare.net/profyclub_ru/kubernetes-hashicorp-vault-avito
  • 50. Как использовать в экосистеме Hashicorp Нативно, это же один технологический стек
  • 51. Давай уже что-то интересное!
  • 53. Динамический доступ в AWS 1. Создаем aws backend 2. Добавляем доступы в AWS 3. Генерим динамические креды
  • 54. Тоже очень круто - динамический временный доступ в базейки - динамический ssh доступ (OTP) Работает по аналогии как и с AWS в первом примере
  • 55. Что делать дальше ● имплементить у себя Hashicorp Vault ● шифтить его в команде и компании ● пользоваться всемы бенефитами и удобностями ● после доклада написать в резюме “Hashicorp Vault” ● делать вашу IaC еще лучше!
  • 56. Я Олег - ukrops.club - dou.ua/users/oleg-mikolaychenko/articles - habrahabr.ru/users/mukolaich/posts - instagram.com/mykolaichenko