Soumettre la recherche
Mettre en ligne
HashiCorp Vault 紹介
•
4 j'aime
•
2,318 vues
hashicorpjp
Suivre
HashiCorp Vault 紹介
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 42
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
Yoshiki Nakagawa
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要
Naohiro Fujie
Keycloak入門
Keycloak入門
Hiroyuki Wada
Recommandé
マルチテナントのアプリケーション実装〜実践編〜
マルチテナントのアプリケーション実装〜実践編〜
Yoshiki Nakagawa
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要
Naohiro Fujie
Keycloak入門
Keycloak入門
Hiroyuki Wada
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
Amazon Web Services Japan
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要
Naohiro Fujie
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
NGINX, Inc.
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
Naohiro Fujie
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
Red Hat OpenShift Container Storage
Red Hat OpenShift Container Storage
Takuya Utsunomiya
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
Harbor RegistryのReplication機能
Harbor RegistryのReplication機能
Masanori Nara
SCUGJ第27回勉強会:ものすごくざっくりなAzure Filesの話
SCUGJ第27回勉強会:ものすごくざっくりなAzure Filesの話
wind06106
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
Hyperledger Aries 101
Hyperledger Aries 101
Hyperleger Tokyo Meetup
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
AdvancedTechNight
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
kazuki kumagai
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
NTT DATA Technology & Innovation
Dapr on Kubernetes
Dapr on Kubernetes
Shiho ASA
Gaeja20121130
Gaeja20121130
Shinichiro Takezaki
Microsoft open tech night 2020 feb18
Microsoft open tech night 2020 feb18
Masatomo Ito
Contenu connexe
Tendances
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
Amazon Web Services Japan
Keycloakの最近のトピック
Keycloakの最近のトピック
Hitachi, Ltd. OSS Solution Center.
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要
Naohiro Fujie
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
NGINX, Inc.
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
Naohiro Fujie
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
Red Hat OpenShift Container Storage
Red Hat OpenShift Container Storage
Takuya Utsunomiya
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
Harbor RegistryのReplication機能
Harbor RegistryのReplication機能
Masanori Nara
SCUGJ第27回勉強会:ものすごくざっくりなAzure Filesの話
SCUGJ第27回勉強会:ものすごくざっくりなAzure Filesの話
wind06106
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
Hyperledger Aries 101
Hyperledger Aries 101
Hyperleger Tokyo Meetup
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
AdvancedTechNight
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
kazuki kumagai
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
NTT DATA Technology & Innovation
Dapr on Kubernetes
Dapr on Kubernetes
Shiho ASA
Tendances
(20)
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
Keycloakの最近のトピック
Keycloakの最近のトピック
MicrosoftのDID/VC実装概要
MicrosoftのDID/VC実装概要
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
講演資料: コスト最適なプライベートCDNを「NGINX」で実現するWeb最適化セミナー
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Red Hat OpenShift Container Storage
Red Hat OpenShift Container Storage
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
Harbor RegistryのReplication機能
Harbor RegistryのReplication機能
SCUGJ第27回勉強会:ものすごくざっくりなAzure Filesの話
SCUGJ第27回勉強会:ものすごくざっくりなAzure Filesの話
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Hyperledger Aries 101
Hyperledger Aries 101
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Apache Airflow 概要(Airflowの基礎を学ぶハンズオンワークショップ 発表資料)
Dapr on Kubernetes
Dapr on Kubernetes
Similaire à HashiCorp Vault 紹介
Gaeja20121130
Gaeja20121130
Shinichiro Takezaki
Microsoft open tech night 2020 feb18
Microsoft open tech night 2020 feb18
Masatomo Ito
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
Masahiro Kiura
FluentdとRedshiftの素敵な関係
FluentdとRedshiftの素敵な関係
moai kids
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
Google Cloud Platform - Japan
Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月
Emma Haruka Iwao
Rails and twitter #twtr_hack
Rails and twitter #twtr_hack
i7a
HTML5&API総まくり
HTML5&API総まくり
Shumpei Shiraishi
HTML5最新動向
HTML5最新動向
Shumpei Shiraishi
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
Takaaki Suzuki
Autonomous を支える技術、Oracle Database 18c デモンストレーション
Autonomous を支える技術、Oracle Database 18c デモンストレーション
オラクルエンジニア通信
Sohu邮箱的python经验
Sohu邮箱的python经验
Ryan Poy
マイクロサービス時代の生存戦略 with HashiCorp
マイクロサービス時代の生存戦略 with HashiCorp
Masahito Zembutsu
NginxとLuaを用いた動的なリバースプロキシでデプロイを 100 倍速くした
NginxとLuaを用いた動的なリバースプロキシでデプロイを 100 倍速くした
toshi_pp
成長を加速する minne の技術基盤戦略
成長を加速する minne の技術基盤戦略
Hiroshi SHIBATA
NGINX New Features (Japanese Webinar)
NGINX New Features (Japanese Webinar)
NGINX, Inc.
ConsulとNomadで簡単クッキング
ConsulとNomadで簡単クッキング
Masatomo Ito
APIMeetup 20170329_ichimura
APIMeetup 20170329_ichimura
Tomohiro Ichimura
Heroku Inside
Heroku Inside
Ayumu Aizawa
FIWARE Orion Context Broker コンテキスト情報管理 (Orion 1.15.0対応)
FIWARE Orion Context Broker コンテキスト情報管理 (Orion 1.15.0対応)
fisuda
Similaire à HashiCorp Vault 紹介
(20)
Gaeja20121130
Gaeja20121130
Microsoft open tech night 2020 feb18
Microsoft open tech night 2020 feb18
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
FluentdとRedshiftの素敵な関係
FluentdとRedshiftの素敵な関係
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送
Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月
Rails and twitter #twtr_hack
Rails and twitter #twtr_hack
HTML5&API総まくり
HTML5&API総まくり
HTML5最新動向
HTML5最新動向
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
NGINX東京ハッピーアワー「DevOpsプラクティスによるクラウドでのKubernetesの利用」
Autonomous を支える技術、Oracle Database 18c デモンストレーション
Autonomous を支える技術、Oracle Database 18c デモンストレーション
Sohu邮箱的python经验
Sohu邮箱的python经验
マイクロサービス時代の生存戦略 with HashiCorp
マイクロサービス時代の生存戦略 with HashiCorp
NginxとLuaを用いた動的なリバースプロキシでデプロイを 100 倍速くした
NginxとLuaを用いた動的なリバースプロキシでデプロイを 100 倍速くした
成長を加速する minne の技術基盤戦略
成長を加速する minne の技術基盤戦略
NGINX New Features (Japanese Webinar)
NGINX New Features (Japanese Webinar)
ConsulとNomadで簡単クッキング
ConsulとNomadで簡単クッキング
APIMeetup 20170329_ichimura
APIMeetup 20170329_ichimura
Heroku Inside
Heroku Inside
FIWARE Orion Context Broker コンテキスト情報管理 (Orion 1.15.0対応)
FIWARE Orion Context Broker コンテキスト情報管理 (Orion 1.15.0対応)
Dernier
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
Dernier
(11)
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
HashiCorp Vault 紹介
1.
Copyright © 2019
HashiCorp HashiCorp Vaultによる シークレット管理と データプロテクション
2.
© 2018 HashiCorp Networking Connect
infrastructure and applications Development Run applications Security Secure applications and infrastructure Operations Provision Infrastructure The 4 essential elements of dynamic infrastructure 2THE HASHICORP STACK
3.
© 2018 HashiCorp Connect THE
HASHICORP STACK Infrastructure and applications Development Run applications Security Secure infrastructure and applications Operations Provision infrastructure The 4 essential elements of distributed infrastructure 3
4.
アジェンダ ● HashiCorp Vaultとは ●
Vaultのユースケース ○ シークレット管理 ○ データプロテクション
5.
HashiCorp Vault とは https://www.vaultproject.io ●
シークレットのライフサイクルの集中管理 ● データプロテクション : API-Drivenな暗号化 ● 20+ のシークレットに対応 ○ Database, RabbitMQ, Public Clouds, SSH, PKI
6.
About Vault 500+ 顧客数 1M+ 月間ダウンロード数 10.4K+
Github スター 2T+ トランザクション プロダクトローンチ2014
7.
Shift to Dynamic 自社で完全に制御可能なインフラ環境上での ペリメータセキュリティ 制御可能で信頼性の高いネットワーク 明確なネットワークペリメータセキュリティ IPアドレスベースのセキュリティ 従来のアプローチ 自社では制御不可能な境界が曖昧な マルチクラウド環境上でのセキュリティ 制御不可能な環境を前提とした対策 環境の境界が不明確なペリメータセキュリティ 動的でIDベースのセキュリティ Vaultのアプローチ
8.
シークレット発行の一般的なワークフロー 8
9.
シークレット発行の一般的なワークフロー 9 1) Agility シークレット発行で時間がかかり開発やリ リースのアジリティに影響
10.
シークレット発行の一般的なワークフロー 10 2) Security Risk 人やプロジェクト間でシークレットが 共有され、管理が不可能に
11.
シークレット発行の一般的なワークフロー 11 3) Security Risk アプリ間やインスタンス間でシークレットが共 有され、一つのシークレットリークが全体に影 響
12.
シークレット発行の一般的なワークフロー 12 4) Ops Cost 全てのインスタンスでシークレットを共有してい るため、シークレットを差し替える際にローリン グアップグレードが必要
13.
人的ミスによるシークレットリーク 13 spring.datasource.url = jdbc:postgresql://kabuctl.run/database spring.datasource.username
= foo spring.datasource.password = bar variable "access_key" { default = xxxxx } variable "secret_key" { default = xxxxx } apiVersion: apps/v1 kind: Deployment ~~~~ containers: - name: subscriber image: gcr.io/google-samples/pubsub-sample:v1 volumeMounts: - name: google-cloud-key mountPath: /var/secrets/google env: - name: GOOGLE_APPLICATION_CREDENTIALS value: /var/secrets/google/key.json
14.
クラウドネイティブ, DevOps, Microservices ツール、アプリや環境
15.
ツール、アプリや環境 重要なシークレット
16.
重要なシークレット 運用コスト セキュリティ
17.
● クラウドネイティブ, DevOps,
Microservices ● ツール、アプリや環境 ● 重要なシークレット 運用コスト セキュリティ
18.
• 多くのシークレットが存在しており、セキュアに管理されていない • シークレット管理のコストが高い •
シークレットへのアクセス管理が出来ていない • シークレットの動的な発行やローテーションを行うのが困難である • シークレット管理や暗号化に関するガバナンスが効いていない • クラウド、Dynamicな環境に対応した既存のツールがない Vault Origins
19.
シークレット管理 データプロテクション Vaultのユースケース シークレット(トークン、パスワード、証明書や暗号化キー)の 中央集権的な生成、保存、提供 データ暗号化のためのシンプルなAPIと暗号化のキー管理の機能 を提供し、アプリケーションのデータをセキュアに保つ *シークレットとは認証認可を与えるものの総称で DBクレデンシャル、クラウドの
IAM、トークン、 TLS証明書、ID&パスワード、SSH Keyなどを指します
20.
Vaultによるシークレット管理 ● パスワードの使い回し ● 同一シークレットの長期利用 ●
アプリなどのクライアントのコンフィグに重 要なシークレットを記入 ● クラウドのアカウント乱立 ● シークレットのエクセル管理 ● シークレットのシングルレポジトリ ● Vaultから様々なシークレットを発行 ● 期限(TTL)付与しシークレットのライフサイ クルをコントロール ● プラットフォームフリー ● 監査ログにて全てのシークレットの発行状 況やアクセス状況を把握 よくある一般的な運用 Vaultによるシークレット管理 シークレット管理の手間や、 同じシークレットを長期間利用し続ける ことのリスク クラウドアカウントの統制が効かない シークレット管理を改善し、 短期間で新しいシークレットを発行
21.
Vaultによるシークレット管理ワークフロー Client Backend シークレット要 求 シークレット発行 TTL=1hour シークレット提 供 TTL後 シークレット破棄 Token Terminal $ vault read
database/creds/mysql-role → VaultがDatabaseのSQLを実行し、ユーザとパスワードを発行 $ vault read aws/creds/vpc-admin → VaultがAWS API実行し、IAMキーを発行 $ vault read ssh/role/otp → VaultがVM上でシェルを実行し、 SSHパスワードを発行 $ vault write pki_intermediate/issue/kabuctl-dot-run common_name="blog.kabuctl.run" → Vaultが認証局となり、証明書を発行
22.
Vault Dynamic Secrets
Principals 22 ● あらゆる外部サービスのシークレット管理を集約し、自動化 ● リクエストに応じてオンデマンドで必要最低限のTTLのシークレットを生成 ● クライアントはVaultに対して最低限のアクセスレベルを有する ● 動的にシークレットを破棄する ● 全てのシークレットの全てライフサイクルは監査可能である
23.
Secrets Management: Secret
Engines
24.
Vaultへの認証フローとポリシー 24 Client $ curl --request
POST http://127.0.0.1:8200/v1/auth/github/login organization=hashicorp team=team-a Role: mysql-client-policy path "mysql/*" { capabilities = [ "read", "create", "delete"] } $ vault login -method=github Vault Token GitHub Token
25.
Vault Auth Method
26.
application.properties spring.datasource.url = jdbc:postgresql://kabuctl.run/database spring.datasource.username
= foo spring.datasource.password = bar pipeline.yml jobs: - name: hello-world plan: - task: say-hello params: MY_SECRET: P@$$w0rd クライアントの変化の例 Before After application.properties spring: cloud: vault: uri: VAULT_ADDR token: TOKEN mysql: enabled: true role: my-role backend: database datasource: url: jdbc:mysql://127.0.0.1:3306
27.
シークレット管理 データプロテクション Vaultのユースケース シークレット(トークン、パスワード、証明書や暗号化キー)の 中央集権的な生成、保存、提供 データ暗号化のためのシンプルなAPIと暗号化のキー管理の機能 を提供し、アプリケーションのデータをセキュアに保つ *シークレットとは認証認可を与えるものの総称で DBクレデンシャル、クラウドの
IAM、トークン、 TLS証明書、ID&パスワード、SSH Keyなどを指します
28.
● アプリ毎にロジックを作成 ● 鍵ローテーションの運用が決まっていな い ●
暗号化ロジックの開発者に依存したメン テナンス ● HSMを利用していてコストが高い ● VaultによるHTTP APIで暗号化が可能 (機能追加が簡単) ● 鍵の運用やローテーションも考慮不要 (Vaultが対応) ● 複数の暗号化ロジックから選択可能 ● ソフトウェアなのでスケーラブル よくある一般的な運用 Vaultによる暗号化 暗号化の手法や品質が開発者に依存、 キーの管理コストが高い、 もしくはそもそも管理されていない APIドリブンな安全で高品質な暗号化、 キーのライフサイクル管理を Vaultに委託 Vaultによる個人情報などのデータ暗号化
29.
30.
31.
アプリはVaultにデー タを転送し、Vaultが 暗号化する Vaultによって暗号され たデータがデータストア に保存される データストアから取得した暗号化 されたアプリデータをVaultによっ て復号化し、アプリに提供する Write Read アプリデータ 暗号化された アプリデータ アプリデータ 暗号化されたデータ 暗号化されたデータ 復号化されたデータ Encryption as
a Service
32.
Vault Enterprise 機能名 概要 DR Replication Vaultクラスター間でトークン、シークレットやキーを含めたレプリケーションを し可用性を向上 Performance
Replication Vaultクラスター間でシークレットなどをレプリケーションし、複数クラスタで リードを処理しパフォーマンスを向上 Performance Standby 1クラスタ内で複数のリードノードを立てパフォーマンスを向上 Control Groups Response Wrapping Tokenにアクセスする際に認証フローを入れセキュ リティを向上 HSM Auto-unseal Hardware Security Moduleによる自動unseal Replication Filters クラスタ間でレプリケーションするデータの条件を指定してフィルタリングをす る Policy as Code (Sentinel) SentinelによるVault APIコール等に関するポリシーの設定 Multi Factor Authentication Vaultへの多要素の認証
33.
Key takeaways ● Vaultで運用コストを抑えつつより強固なセキュリティを ○
マルチクラウドやダイナミックな環境のシークレット管理ならVault ! ○ アプリに透過的なAPI-Driveな暗号化やキー管理ならVault !!
34.
Performance Standby EnterpriseOSS ActiveStandby Standby read write read write read write ActivePerf
Standby Perf Standby read write read write read write Cluster Cluster
35.
DR Replication Vault Active
cluster (Primary cluster) Vault Standby Cluster (Secondary) Token, configuration, Secretな どのレプリケーション Vault Standby cluster
36.
Performance Replication Vault Active
cluster (Primary cluster) Vault Perf Standby cluster (Secondary cluster) Vault Perf Standby cluster (Secondarymary cluster) read read read write write write Configuration Secrets Configuration Secrets Configuration Secrets 転送 転送 複製 複製
37.
DR ReplicationとPerformance Replication Header
DR Replication Performance Replication プライマリクラスタのコングレーションのミラーリング Yes Yes 認証やシークレットエンジンなどのプライマリのバックエンドの コンフィグのミラーリング Yes Yes リースやトークンまたはプライマリクラスタとインタラクションを しているユーザのミラーリング Yes No. セカンダリクラスタは独自のデータを持つため、セカ ンダリがプロモーションするときにアプリやサイド認 証をし、新しいプライマリから再度リースやトークンを 取得する セカンダリクラスタがリクエストを処理できるか Yes Yes
38.
Policy as Code
(Sentinel) ● 通常のACLの設定に加えてVaultの安全性を保つためにより高度で柔軟な設 定を実現する ○ Role Governing Policies (RGPs) ■ 特定のトークンやIDに関連付けるポリシー ○ Endpoint Governing Policies (EGPs) ■ Vaultの特定のエンドポイントに関連付けるポリシー
39.
4時間以内に生成された トークンのみ許可する
40.
LDAPログイン時にMFAを 必ず要求し、10.20.0.0/16 からのクライアントのみアク セスを許可する
41.
指定したデータに対して変 更を加える際に、 指定したMFAで 認証されたsysopsの クライアントであることを確 認する
Télécharger maintenant