Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

Meetup vault - ScaaS Secrets as a Service

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Chargement dans…3
×

Consultez-les par la suite

1 sur 27 Publicité

Plus De Contenu Connexe

Diaporamas pour vous (20)

Similaire à Meetup vault - ScaaS Secrets as a Service (20)

Publicité

Plus récents (20)

Publicité

Meetup vault - ScaaS Secrets as a Service

  1. 1. Vault Secrets as a Service framework
  2. 2. Gestion des secrets dans une architecture “tradi” ● Les devs/admins configurent les applications avec les secrets ● Ou pire ils sont dans le repo de code :-) ● Où sont ils stockés ? ○ dans ma tête ○ fichier local non commité ○ code / repo ○ keepass + dropbox ○ lastpass / 1password ● Que ce passe t’il quand ? ○ un secret est compromis ○ un employé quitte la société ○ la politique de sécurité prévoit de changer tous les mot de passe tous les 2 mois ?
  3. 3. Puis il arrive... L’audit de sécurité du partenaire !!!
  4. 4. Vault à la rescousse
  5. 5. Vault vue d’avion ● Solution permettant de gérer les secrets et de protéger les datas de manière centralisée dans une infrastructure dynamique ○ Résilient ○ Scalable ○ Secure ● Basé sur un système d’APIs ● Supporte les plugins
  6. 6. Key Features ● Sécurité des secrets et data ● Rotation des clés ● Déverrouillage par saisies de plusieurs clés (3 par défaut) ● Support des policies ● Support des TTLs ● Secrets dynamiques ● UI (à partir de la 1.10)
  7. 7. Quelques use-cases sympas ● Stocker ses mot de passe qui sont ensuite récupérés par ansible ● Obtenir un user/pass mysql valide 1H uniquement ● Déverrouiller vault uniquement pendant les créneaux autorisés de MEP 💖💖 ● Générer un jeu de clé AWS par user et app automatiquement
  8. 8. Composants
  9. 9. Secrets Engines ● Liste de backends pour lesquels vault sait créer / stocker / mettre à jour des secrets ou data
  10. 10. Secrets Engines - Active Directory - AliCloud - AWS - Azure - Consul - Cubbyhole - Databases - Google Cloud - Google Cloud KMS - KMIP (version ENTERPRISE) - Key/Value - Identity - Nomad - PKI (Certificates) - RabbitMQ - SSH - TOTP - Transit
  11. 11. Storage Backends ● Liste des backend ou Vault peut stocker ces datas et sa config ● Certains permettent le mode HA d’autres non
  12. 12. Storage Backends ● Azure ● Cassandra ● CockroachDB ● Consul ● CouchDB ● DynamoDB ● Etcd ● Filesystem ● FoundationDB ● Google Cloud Spanner ● Google Cloud Storage ● In-Memory ● Manta ● MSSQL ● MySQL ● OCI Object Storage ● PostgreSQL ● Raft ● S3 ● Swift ● Zookeeper
  13. 13. Auth Methods ● Backend d’authentification que va supporter vault pour authentifier les accès aux secrets
  14. 14. Auth Methods ● AppRole ● AliCloud ● AWS ● Azure ● Cloud Foundry ● Google Cloud ● JWT/OIDC ● Kubernetes ● GitHub ● LDAP ● Oracle Cloud Infrastructure ● Okta ● RADIUS ● TLS Certificates ● Tokens ● Username & Password
  15. 15. Audit Devices ● Destination (optionnelle) des informations d’audit où Vault envoie des logs d’audit ● /! Contient des informations sensibles /! ● File ● Syslog ● Socket
  16. 16. Vault Plugins ● Supporte des plugins groupé en 3 catégories : auth, secret, database ● Écrits en Go avec un SDK ● On peut donc écrire le sien !
  17. 17. Déploiement ● Plusieurs options ○ from source ○ binaire en local ○ image docker ○ chart helm ○ k8s operator ● HA ou pas ● Choix du backend de stockage ● Choix du / des backends d’authentification ● Activation de l’audit ou pas ● Ecriture des rôles et policy ● Activation et configuration des plugins
  18. 18. Demo #1 - local
  19. 19. Demo #2 - kubernetes & vault-agent
  20. 20. Questions ???
  21. 21. twitter.com/@webofmars ibd.sh/openbar wmars.xyz/youtube
  22. 22. Kahoot https://kahoot.it ou application kahoot!

×