HashiCorp Vault ist ein Open Source-Tool, das eine sichere Möglichkeit zum Speichern und Verteilen von Geheimnissen wie API-Schlüsseln, Zugriffstoken und Kennwörtern bietet. Software wie Vault kann bei der Bereitstellung von Anwendungen, die Geheimnisse oder vertrauliche Daten erfordern, von entscheidender Bedeutung sein.
Laut einer aktuellen Studie von Wissenschaftlern der North Carolina State University enthalten über 100.000 öffentliche GitHub-Repositorys Open-Source-Anwendungsgeheimnisse direkt im Quellcode. Diese Studie - von privaten API-Token bis hin zu kryptografischen Schlüsseln - hat nur etwa 13% der öffentlichen GitHub-Repositorys gescannt - zeigt, dass die ordnungsgemäße Sicherung von Anwendungsgeheimnissen eine der am häufigsten übersehenen Methoden zum Schutz von Informationen in Software ist.
Obwohl das Ausmaß der Auswirkungen überraschend ist, ist zu beachten, dass dieses Problem nicht auf Open Source-Projekte beschränkt ist. Selbst private Quellcode-Repositorys können Geheimnisse preisgeben, wenn sie nicht ordnungsgemäß gesichert sind. Nehmen Sie die Sicherheitsverletzung bei Buffer Inc. im Jahr 2013. Was als illegaler Zugriff auf den eigenen Quellcode von Buffer begann, führte dazu, dass die Twitter-API-Anmeldeinformationen des Unternehmens verloren gingen und schließlich die Twitter-Konten unzähliger Kunden spammten.
Ich werde Buffer jetzt nicht unterdrücken. Unternehmen werden jeden Tag gehackt und Buffer gab eine erstklassige Antwort. Ihre ungefilterte Transparenz und Meldung von Vorfällen lieferte ein interessantes Beispiel für die Bedeutung des Geheimhaltungsmanagements als Grundprinzip der Informationssicherheit. Es stellt sich aber auch die Frage, wie Geheimnisse in einer wachsenden, skalierbaren Organisation am besten verwaltet werden können.
Einführung in HashiCorp Vault
Ich bin ein großer HashiCorp-Fan. Ihr herstellerunabhängiger Ansatz für DevOps-Tools bietet hervorragende tragbare Lösungen, die von einzelnen Cloud-Anbietern abstrahieren und sich auf die Lösung realer Probleme konzentrieren. Ihr geheimes Management-Tool Vault ist keine Ausnahme.
, Vault , .
Vault
Vault, . HashiCorp, Vault , macOS, Windows, Linux, Solaris BSD. Raspberry Pi.
Vault . Vault. , , , . HashiCorp:
Vault, : , , . .
, vault server -dev
(-dev
, , ):
$ vault server -dev
==> Vault server configuration:
Api Address: http://127.0.0.1:8200
Cgo: disabled
Cluster Address: https://127.0.0.1:8201
Listener 1: tcp (addr: "127.0.0.1:8200", cluster address: "127.0.0.1:8201", max_request_duration: "1m30s", max_request_size: "33554432", tls: "disabled")
Log Level: info
Mlock: supported: false, enabled: false
Storage: inmem
Version: Vault v1.2.1
WARNING! dev mode is enabled! In this mode, Vault runs entirely in-memory
and starts unsealed with a single unseal key. The root token is already
authenticated to the CLI, so you can immediately begin using Vault.
You may need to set the following environment variable:
$ export VAULT_ADDR='http://127.0.0.1:8200'
The unseal key and root token are displayed below in case you want to seal/unseal the Vault or re-authenticate.
Unseal Key: p8MumXfy57bh2T1FxdvZSmHhxqr7aQAByPpfE4PLujk=
Root Token: s.aSQmpEYEi5MKelf5TDLPC6r9
Development mode should NOT be used in production installations!
==> Vault server started! Log data will stream in below:
, , . , ( , ). , , VAULT_ADDR, Vault , .
Unseal Key Root Token. , Root Token , / Vault Vault .
Vault . , Vault , , , . Vault (unsealed). , , (Unseal Key), (unseal) . Vault , .
Vault . , - :
$ vault operator init
Unseal Key 1: 4jYbl2CBIv6SpkKj6Hos9iD32k5RfGkLzlosrrq/JgOm
Unseal Key 2: B05G1DRtfYckFV5BbdBvXq0wkK5HFqB9g2jcDmNfTQiS
Unseal Key 3: Arig0N9rN9ezkTRo7qTB7gsIZDaonOcc53EHo83F5chA
Unseal Key 4: 0cZE0C/gEk3YHaKjIWxhyyfs8REhqkRW/CSXTnmTilv+
Unseal Key 5: fYhZOseRgzxmJCmIqUdxEm9C3jB5Q27AowER9w4FC2Ck
Initial Root Token: s.KkNJYWF5g0pomcCLEmDdOVCW
Vault initialized with 5 key shares and a key threshold of 3. Please securely distribute the key shares printed above. When the Vault is re-sealed, restarted, or stopped, you must supply at least 3 of these keys to unseal it before it can start servicing requests.
Vault does not store the generated master key. Without at least 3 keys to reconstruct the master key, Vault will remain permanently sealed!
It is possible to generate new unseal keys, provided you have a quorum of existing unseal keys shares. See "vault operator rekey" for more information.
, , , . vault login
, . Root Token (. ). , , :
$ vault login
Token (will be hidden):
Success! You are now authenticated. The token information displayed below is already stored in the token helper. You do NOT need to run "vault login" again. Future Vault requests will automatically use this token.
Key Value
--- -----
token s.aSQmpEYEi5MKelf5TDLPC6r9
token_accessor MaJhao2R54EdV9fDq7sL11d4
token_duration ∞
token_renewable false
token_policies ["root"]
identity_policies []
policies ["root"]
Vault HashiCorp , Vault . vault kv put
:
$ vault kv put secret/foo bar=baz
Key Value
--- -----
created_time 2019-08-09T16:43:10.604124Z
deletion_time n/a
destroyed false
version 1
, foo
secret
bar=baz
, . created_time
, deletion_time
destroyed
, version
, , .
, , , :
$ vault kv put secret/foo bat=ball
Key Value
--- -----
created_time 2019-08-09T16:43:32.638788Z
deletion_time n/a
destroyed false
version 2
, ? , , , .
$ vault kv list secret Keys ---- foo
— . — . , :
, , , . , vault kv get
:
$ vault kv get secret/foo
====== Metadata ======
Key Value
--- -----
created_time 2019-08-09T16:43:32.638788Z
deletion_time n/a
destroyed false
version 2
=== Data ===
Key Value
--- -----
bat ball
Vault , , -version
:
$ vault kv get -version=1 secret/foo
====== Metadata ======
Key Value
--- -----
created_time 2019-08-09T16:43:10.604124Z
deletion_time n/a
destroyed false
version 1
=== Data ===
Key Value
--- -----
bar baz
, , , (release) , .
, ( ). , , «» , : delete
destroy
. , foo
:
$ vault kv delete -versions=1 secret/foo
Success! Data deleted (if it existed) at: secret/foo
(deleted
) GET, :
$ vault kv get -version=1 secret/foo
====== Metadata ======
Key Value
--- -----
created_time 2019-08-09T16:43:10.604124Z
deletion_time 2019-08-09T16:45:39.664577Z
destroyed false
version 1
, destroy:
$ vault kv destroy -versions=1 secret/foo Success! Data written to: secret/destroy/foo
, , destroy , :
$ vault kv get -version=1 secret/foo
====== Metadata ======
Key Value
--- -----
created_time 2019-08-09T16:43:10.604124Z
deletion_time 2019-08-09T16:45:39.664577Z
destroyed true
version 1
HashiCorp Vault
Vault — , — , . Vault , , Vault .
Secrets engines
$ vault secrets enable database
Success! Enabled the database secrets engine at: database/
Vault ( , kv
). — . , - . , (database
) MySQL MariaDB, root .
$ vault auth enable github
Success! Enabled github auth method at: github/
Vault . GitHub, Vault , GitHub — GitHub — . , LDAP Okta, Vault.
$ vault write auth/userpass/users/test policies="dev-readonly,logs"
. GitHub , . Vault RBAC, CRUD- . .
Vault
Vault, . , Vault, . , API, , Vault, Vault HashiCorp – .
Neben der Sicherung Ihrer Anwendungen und Infrastruktur benötigen Sie einen schnellen Plan zur Reaktion auf Vorfälle. Lesen Sie unseren kostenlosen Leitfaden Von reaktiv zu proaktiv: 6 Möglichkeiten zur Transformation Ihrer Überwachung und Reaktion auf Vorfälle, um äußerst kollaborative, transparente Workflows für das Incident Management zu erstellen.