Upgrade to Pro — share decks privately, control downloads, hide ads and more …

改めて学ぶ、Vaultの基本

Kazuto Kusama
December 16, 2021
Technology
1
1.2k

 改めて学ぶ、Vaultの基本

Vault Meetup #1で発表した資料です。
HashiCorp Vaultって何をするもの?どう便利なのか?をまとめました。

Kazuto Kusama

December 16, 2021
Tweet

More Decks by Kazuto Kusama

See All by Kazuto Kusama
2024/10 PagerDuty機能アップデート
jacopen
1
33
ゲームから学ぶ、いちばん速いインシデント対応
jacopen
1
58
PEK2024 Recap
jacopen
2
130
クラウドネイティブの本質から考える、生産性と信頼性の両立
jacopen
3
840
「責任ある開発」を!フルサービスオーナーシップが変えるエンジニアリング文化
jacopen
11
2k
手を動かさないインシデント対応〜自動化で迅速・正確な運用を目指す〜
jacopen
3
430
エンジニアとしてのキャリアを支える自宅サーバー
jacopen
12
7.3k
Grafana x PagerDuty Better Together
jacopen
1
710
「共通基盤」を超えよ! 今、Platform Engineeringに取り組むべき理由
jacopen
27
10k

Other Decks in Technology

See All in Technology
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
130
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
190
LINEヤフーにおけるPrerender技術の導入とその効果
narirou
1
140
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
350
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
0
200
Flutterによる 効率的なAndroid・iOS・Webアプリケーション開発の事例
recruitengineers
PRO
0
120
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
710
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
330
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
770
TypeScript、上達の瞬間
sadnessojisan
47
14k
強いチームと開発生産性
onk
PRO
35
12k
生成AIが変えるデータ分析の全体像
ishikawa_satoru
0
170

Featured

See All Featured
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
The Cost Of JavaScript in 2023
addyosmani
45
6.8k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Happy Clients
brianwarren
98
6.7k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
6.9k
Music & Morning Musume
bryan
46
6.2k
Automating Front-end Workflow
addyosmani
1366
200k
Embracing the Ebb and Flow
colly
84
4.5k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k

Transcript

  1. Copyright © 2021 HashiCorp 改めて学ぶ Vaultのキホン

  2. Copyright © 2021 HashiCorp 草間一人 Sr. Solutions Engineer @jacopen Kazuto

    Kusama

  3. これから話すこと ▪ HashiCorp Vaultって何だっけ? 何が便利なんだっけ? という話 をします ▪ Vaultを知らない、もしくは名前は知っているけど 活用はこれからという人向けです

    ▪ 既にバリバリ使っている人には既知の話が多いです – Vaultの必要性を他の人に説明するときの 説明方法の一つとして見てもらうといいかも

  4. Vault is 何 アイデンティティベースの シークレットと暗号化の管理システム

  5. いきなりなんですが みなさん は好きですか?

  6. いきなりなんですが みなさん は好きですか? 好きです! #vugjp 毎日使ってます! #vugjp 無いと仕事にならないです! #vugjp

  7. Terraform Providers IaaS Network Middleware Orchestrators

  8. いろんな環境をTerraformでIaC いろんなサービスやプラットフォームを活用していく のが “クラウドネイティブ時代 ” っぽい

  9. でも、新たな悩みが・・・ どのサービスも、API Tokenや Access Key、 User/Passwordなど Credentialを必要とする

  10. ちゃんと管理してますか?

  11. 管理する必要のあるもの ▪ Cloud ProviderのAccess key/secretとか ▪ API Tokenとか ▪ DBのuser/passとか

    ▪ SSHの鍵とか ▪ TLSの証明書と鍵とか

  12. AWSのAccess key/ secret access key データベースのメンテナンス用 User/Pass SSHのAuthorized keys ***

    / *** *** / *** それぞれがKeyを 手元で管理している メンテ用のuser/pass を共有している 各ユーザーの公開鍵 をauthorized_keysに 設定している パスワード制限した 台帳で管理している

  13. AWSのAccess key/ secret access key データベースのメンテナンス用 User/Pass SSHのAuthorized keys ***

    / *** *** / *** 間違えてgitに コミットしちゃった! 退職してもメンテ用パ スワードは内緒にね ! 退職した人の公開鍵 が登録されたまま つまり ちゃんと管理 できてない状態 何者かによって 台帳の中身が流出

  14. Secret sprawl バラバラに保管 アプリごと/チームごと バラバラの アクセスフロー アクセスのコント ロールができない

  15. クラウド時代の秘密情報の管理 従来の秘密情報の管理 • ネットワークの境界を中と外で明確に分 割 • 自社が管理する信頼性の高いネット ワークを前提に管理 クラウド時代においては・・・ •

    IaaS, SaaSベンダーが管理するネットワー クとデータセンターの相互運用 • ネットワークの境界が曖昧になり、 Identityベースでの管理が必要 静的なインフラ環境 動的なインフラ環境

  16. よくあるインシデント アクセスキーが漏洩 大量のインスタンスを 作成してマイニング とんでもない請求

  17. よくあるインシデント アクセスキーが漏洩 大量のインスタンスを 作成してマイニング とんでもない請求 どこから漏れたか 分かっていれば 対策はできるけど…

  18. 管理を怠ると何が起こる? 例えば・・・ ▪ どこからかクラウドプロバイダーのキーが流出し、DBインスタンス のマスターパスワードが変更され、中にあった 個人情報が流出 ▪ オブジェクトストレージのアクセスキーが流出し、 研究データが他国に流出 やばい

  19. Secretのジレンマ ▪ Secretが大事なことは誰もが分かってる ▪ だから既存の自動化フローには載せず、特別対応 – 一部の人だけが手元で厳重に管理 – 権限を絞ったプライベートリポジトリで管理 –

    権限を絞ったSpreadsheetで管理 ▪ しかしこの特別対応こそが、Secret Sprawlを生みセキュリティを低 下させる – 人間が把握できる範囲には限界がある – 人間はミスをする

  20. ちゃんと管理しましょう!

  21. Secret管理のベストプラクティス ・定期的なローテーション ・利用者に応じた細かな権限管理 ・監査記録 ・暗号化 AWS https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html Azure https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/design-storage-keys GCP

    https://cloud.google.com/secret-manager?hl=ja

  22. アイデンティティベースの シークレットと暗号化の管理システム これまで挙げたような、扱いに悩むシークレットを “ちゃんと” 管理するためのシステム OSSで提供されているほか、商用版のVault EnterpriseやHCP VaultというManaged Serviceも あります。

  23. 僕たちが欲しいもの シークレットを”ちゃん と管理”できること

  24. 僕たちが欲しいもの 暗号化され安全に 管理されている 追加・削除がすぐ出 来る

  25. 僕たちが欲しいもの 誰が使っているか を特定できる 利用者ごとにポリ シーを設定出来る Admin アプリ

  26. 僕たちが欲しいもの 安全に 使える 効率的に 使える

  27. The Tao of HashiCorp Workflows, not Technologies HashiCorpのアプローチは、根底にある技術より、むしろ ワークフ ローの最終ゴールに焦点をあてています

    。ソフトウェアやハード ウェアは進化し、改善されていくものですが、我々の目標は、新し いツールの導入を簡単にし、かつ可能な限り合理的なユーザー 体験を提供することにあります。我々の製品設計は、目標を達成 するためのワークフローを想像するところから始まります。次に、 ワークフローを単純化するための既存のツールを探します。 もし十分なツールが存在ければ、我々がそれを作ります。このよ うにして、我々は基本的に技術にとらわれない考え方をしていま す。 技術が進化し、より優れたツールが登場すれば、理想的なワーク フローは更新されます。技術が変わっても、最終的な目標は変わ りません。

  28. 利用方法 or or Server ここで集中管理

  29. 利用方法 or or Server CLI GUI API Interface Client Admin

    アプリ CI/CD さまざまな人/システムが、さま ざまな方法でアクセス

  30. デプロイ方法 Vaultのバイナリを起動 (1バイナリなのでセットアップも比較 的容易)

  31. デプロイ方法 Helmを使ってk8sの中に セットアップ

  32. デプロイ方法 HCP VaultだとHashiCorp ManagedなVaultが使える

  33. デプロイ方法 Vault間でReplication

  34. 認証 Otka JWT/OIDC LDAP Azure AD AWS IAM GitHub Token

    etc… AppRole Kubernetes TLS Certs

  35. シンプルな例 - KV Secrets Engine GUIもしくはCLIでVaultに値を保存 vault kv put kv/secret/path

    foo=bar or GUI CLI foo=bar

  36. アプリからアクセス (API) foo=bar アプリ foo=bar API

  37. Kubernetesを経由してアプリに渡す foo=bar アプリ vault-agent foo=bar foo=bar init-container or Sidecar

  38. Kubernetesを経由してアプリに渡す Vault Agent InjectorをKubernetes 上にセットアップ。Helmでインストー ル可能 Mutating webhookでPodにInit containerやSidecarを追加してくれ る

  39. CODE EDITOR {{- with secret "internal/data/database/config" -}} postgresql://{{ .Data.data.username }}:{{

    .Data.data.password }}@postgres:5432/wizard {{- end -}}

  40. CODE EDITOR spec: template: metadata: annotations: vault.hashicorp.com/agent-inject: "true" vault.hashicorp.com/agent-inject-status: "update"

    vault.hashicorp.com/role: "internal-app" vault.hashicorp.com/agent-inject-secret-database-config.txt: "internal/data/database/config" vault.hashicorp.com/agent-inject-template-database-config.txt: | {{- with secret "internal/data/database/config" -}} postgresql://{{ .Data.data.username }}:{{ .Data.data.password }}@postgres:5432/wizard {{- end -}}

  41. TERMINAL > kubectl exec payroll --container payroll \ -- cat

    /vault/secrets/database-config.txt postgresql://db-readonly-user:db-secret-password@postgres:5432/wizard Render されたTemplate

  42. Kubernetesを経由してアプリに渡す (CSI Provider) foo=bar アプリ CSI Provider foo=bar foo=bar ボリュームとして

    Podにマウント

  43. Kubernetesを経由してアプリに渡す (CSI Provider)

  44. Kubernetesを経由してアプリに渡す (Kubernetes External Secrets) https://github.com/external-secrets/kubernetes-external-secrets External Secrets Controller Secrets foo=bar

    foo=bar kube-apiserver External Secrets

  45. 便利さは分かったけど ほかの選択肢もあるよね?

  46. Vaultの醍醐味は Dynamic Secretにあり

  47. データベースのメンテナンス Maintenance User/Pass Maintenance User/Pass

  48. データベースのメンテナンス(Dynamic Secret) Temporary User/Pass ログ Database Secret Engine

  49. CI/CDからクラウドの利用 Cloud Provider IAM Test & Build Deploy CI/CDツール

  50. CI/CDからクラウドの利用(Dynamic Secret) Temporary IAM Test & Build Deploy CI/CDツール AWS

    Secret Engine Azure, GCPにも対応

  51. 外部の運用者からの利用 内部の人 外部の人 Cloud Provider IAM 作成 & 権限設定

  52. 外部の運用者からの利用(Dynamic Secret) 内部の人 外部の人 Temporary IAM Account 権限、TTL設定 TTLが設定出来るので、一定時間経 つと自動で無効になる

  53. さらにこんなのも

  54. PKI ルート認証局 X.509証明書 • Vault を中間認証局として設定 • 認証や暗号化通信に必要な署名済みの X.509証明書を動的に発行 X.509証明書

    Signed X.509証明書 Lease Lease Application A Application B 中間認証局

  55. Cert-manager apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: vault-issuer namespace: sandbox

    spec: vault: path: pki_int/sign/example-dot-com server: https://vault.local caBundle: <base64 encoded CA Bundle PEM file> auth: ... apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: app-cert spec: dnsNames: - '*.example.local' issuerRef: kind: ClusterIssuer name: vault-issuer secretName: app-cert

  56. Encryption as a Service • データの暗号化/復号の中継地点 暗号化/復号 Application A Application

    B PII PII = Personal Identifiable Information PII 暗号化 復号 暗号鍵 PII PII データベース 書き込み 読み出し

  57. Vaultの暗号化機能の活用例 アプリ S3 #1 データ の暗号化 #2 暗号 データを格 納

    悪意のある内部ユーザ ❌ AWSの権限だけではデータを 取ることはできない 研究データ 個人情報

  58. OIDC Provider ▪ Vault 1.9からの新機能(Tech Preview) ▪ VaultがOIDCのIdPとして振る舞える https://www.vaultproject.io/docs/secrets/identity/oidc-provider

  59. 紹介しきれないので まずは触ってみよう! $ vault server -dev

  60. None

  61. ドキュメント & HashiCorp Learn

  62. 日本語版ワークショップ

  63. 質問チャンネル Slack #question

  64. Thank You [email protected] www.hashicorp.com