Wie kann ich mit Hashicorp Vault meine Anwendungsgeheimnisse verwalten?

Question

Ich bin sehr gespannt auf die Angebote von Hashicorp Vault, aber ich habe Probleme damit, meinen Kopf darum zu drehen, wie er in unsere heutige Architektur passt. Die Notwendigkeit, den Tresor bei jeder Bereitstellung manuell zu entsiegeln, ist zweifellos ein großer Vorteil für die Sicherheit. Aber wie sollen Anwendungen reagieren, wenn der Tresor zunächst versiegelt wird?

Wenn beispielsweise Anwendung A von einer Datenbankberechtigung abhängig ist, die von Vault zur Initialisierung generiert wurde, wie soll diese Anwendung reagieren, wenn sie während der Versiegelung von Vault bereitgestellt wird? Spin-wait, während der versiegelte Status überprüft wird?

Wie können andere Personen Vault mit bestimmten Produktionsgeheimnissen versehen? Zum Beispiel haben wir einen Authentifizierungsserver, der von einem einzelnen konsistenten Systemgeheimnis abhängt, das beim Start von Vault abgerufen werden muss. Wie kann ich sicher stellen, dass dieses Geheimnis nach der Bereitstellung von Vault verfügbar ist?

Zur Erinnerung: Wir implementieren Vault mit einigen anderen Diensten unter Verwendung von docker-compose und ecs compose für die Bereitstellung.

Answer 1

Es ist nicht erforderlich, Ihren Tresor zwischen Bereitstellungen zu versiegeln. Vault benötigt einen nicht versiegelten Tresor, um Mietverträge zu erneuern, Geheimnisse zu lesen, Anmeldeinformationen usw. zu erstellen. Der Tresor ist bei normaler Verwendung mit Authentifizierung und Autorisierung gesichert.

Sie sollten Ihren Tresor versiegeln, wenn eine signifikante Intrusion festgestellt wurde. Durch das Versiegeln des Gewölbes können Schäden minimiert werden, indem der rekonstruierte Hauptschlüssel weggeworfen wird. Dies verhindert, dass Vault funktioniert, bis das Risiko gemindert wurde. Sealing widerruft Anmeldeinformationen, die von Vault ausgestellt wurden, nicht.

Sie fragte auch nach vorbestehenden Geheimnisse importieren und wie man „sicher dafür sorgen, dass dieses Geheimnis nach der Bereitstellung von Vault verfügbar ist?“:

Sie sollten für Ihre vorbestehenden Geheimnisse Schreibbefehle erteilen sie nach dem importieren Tresor wurde entsiegelt. Sie können sicher sicherstellen, dass das Geheimnis existiert, indem Sie es lesen. Lese- und Schreibvorgänge sind bei Verwendung der CLI oder API im Allgemeinen sicher.

$ vault write secret/single-consistent-system-secret value=secret-stuff 
Success! Data written to: secret/single-consistent-system-secret 

$ vault read secret/single-consistent-system-secret 
Key    Value 
lease_duration 2592000 
value   secret-stuff