Devoxx France 2025 - Infisical : Le meilleur ami des devs pour des secrets bien gardés !

Transcript

1. Le meilleur ami des devs pour des secrets bien gardés

   ! Julien Briault (@ju_hnny5)

2. Julien Briault Uptime 26y Ingé réseau | SRE @ Auteur

   @ Linux Pratique Responsable (bénévole) @ #3615 Ma vie @ju_hnny5 @jbriault.fr
3. None

4. @ju_hnny5

5. @ju_hnny5 Nos besoins : - Des bénévoles (devs, infra, gestion

   de projet) - De l’hébergement en DC (sur Paris, Marseille périphérie) - Du matériel info (réseau, ordinateurs portables, serveurs, consommable, etc)

6. Mais … Pourquoi ce talk ? @ju_hnny5

7. Un peu de contexte … @ju_hnny5

8. @ju_hnny5 Un peu de contexte …

9. Un peu de contexte … OpenBao https://openbao.org/ @ju_hnny5

10. https://www.youtube.com/watch?v=IAwu-WCN6Nw @ju_hnny5

11. @ju_hnny5

12. Pour des secrets bien gardés ? @ju_hnny5

13. @ju_hnny5 Tu entends quoi par “secrets” ?

14. Fait référence à une info sensible ou confidentielle @ju_hnny5

15. Une info qui doit être protégée contre tout accès non

    autorisé @ju_hnny5

16. @ju_hnny5 Un secret, qu’est-ce que c’est ? • Ça peut

    prendre plusieurs formes : ◦ Mot de passe (pour authentifier les utilisateurs/apps) ◦ Clés d’API (pour les services web ou APIs) ◦ Certificats et clés crypto (chiffrer/déchiffrer des données) ▪ On dit crypter chiffrer ◦ Infos de configuration sensibles (chaînes de connexion à une BDD, un paramètre de serveur) ◦ Données personnelles (numéro de sécu)

17. Un peu de technique … @ju_hnny5

18. @ju_hnny5 Infisical : Késako ? • Outil Open Source de

    gestion, stockage et sécurisation des secrets* d’un projet, mais pas que ! • Environ 180 contributeurs • Projet jeune (né en 2022) https://github.com/Infisical/infisical

19. @ju_hnny5 Infisical : Késako ? Qu’est-ce que ça fait ?

20. @ju_hnny5 Infisical : Késako ? Qu’est-ce que ça fait ?

21. @ju_hnny5 Infisical : 2 versions OSS Enterpris e

22. @ju_hnny5 Infisical : 2 versions Self-Hosted SaaS

23. La gestion des identités @ju_hnny5

24. @ju_hnny5 La gestion des identités 2 types : Les humains

    Les machines

25. @ju_hnny5 La gestion des identités 2 types : • Les

    humains : les devs, les platforms engineers (former SRE), les admins • Les machines : dans une CI/CD (Gitlab par exemple), par des applications et bien plus !

26. Le KMS (Key Management Service) @ju_hnny5

27. @ju_hnny5 Le KMS Le KMS est un service qui gère

    les clés de chiffrement utilisées pour sécuriser les données. Il permet de créer, stocker, gérer et détruire les clés de manière sécurisée. Par défaut les projets utilisent le KMS fournit automatiquement par Infisical.

28. Un agent Secret ? @ju_hnny5

29. @ju_hnny5 Un agent secret ? https://infisical.com/docs/integrations/platforms/infisical-agent

30. Et pour les devs ? @ju_hnny5

31. @ju_hnny5 La gestion multi-envs • Isoler pour mieux développer ◦

    Prod ◦ Staging ◦ Dev ◦ Sandbox • Fournit nativement par l’outil* • Out of box

32. La gestion multi-envs

33. @ju_hnny5 Le versioning - Pratique en cas d’erreur - Permet

    de déboguer plus facilement - Exemple : dans le cas d’un secret qui est remplacé automatiquement.

34. @ju_hnny5 Le Point-in-Time Recovery - Possibilité de faire : -

    des snapshots de ses secrets - des rollbacks

35. @ju_hnny5 Importer des secrets - Plusieurs méthodes existent : -

    Via la CLI dans un projet donné - Via la WebUI

36. Les intégrations @ju_hnny5

37. @ju_hnny5 Les secrets d’un projet Un SDK pour appeler des

    secrets dans son code ◦ Ecrit en Rust ◦ Cross-language Pour le moment, pour uniquement ces langages/frameworks : https://github.com/Infisical/sdk

38. @ju_hnny5 Un provider https://github.com/Infisical/terraform-provider-infisical

39. des secrets pas si secrets … @ju_hnny5

40. @ju_hnny5 Kubernetes : des secrets, pas très secrets … Coucou

    Base64

41. @ju_hnny5 Kubernetes : des secrets, pas très secrets … •

    Accessibles via l’API de Kube ◦ Ça peut être pratique mais pas hyper sécurisé … • Stockage des secrets dans ETCD ◦ Facilement récupérable pour toute personne ayant accès à ETCD • Logs et dumps ◦ Peut se retrouver accidentellement dans les logs et dumps … On a vu mieux ! • Aucun chiffrement dans les repos

42. @ju_hnny5 Kubernetes : des secrets, pas très secrets … et

    avec Infisical ? https://infisical.com/docs/integrations/platforms/kubernetes/overview • Un opérateur ◦ Une helm chart pour installer • Les CRDs (Custom Resource Definitions) ◦ InfisicalSecret ◦ InfisicalPushSecret ◦ InfisicalDynamicSecret

43. @ju_hnny5 Et via une CSI ? https://infisical.com/docs/integrations/platforms/kubernetes-csi#kubernetes-csi • Injecter des

    secrets directement dans un Pod à travers un volume monté. • A l’inverse de l’opérateur, il permet de synchroniser les secrets dans les pods (sous la forme de fichiers) sans avoir besoin de “Secret resources”.

44. Cibler ses secrets @ju_hnny5

45. @ju_hnny5 Cibler ses secrets avec Ansible • Possible d’utiliser Ansible

    Vault mais nécessite une clé partagée pour déchiffrer. https://infisical.com/docs/integrations/platforms/ansible#ansible

46. @ju_hnny5 Cibler ses secrets avec Ansible • Infisical fournit une

    collection Ansible • Les commandes : # Installer la collection et les dépendances ansible-galaxy collection install infisical.vault pip install infisical-python # Lire un secret read_secret_by_name_within_scope: "{{ lookup('infisical.vault.read_secrets', universal_auth_client_id='<>', universal_auth_client_secret='<>', project_id='<>', path='/', env_slug='dev', secret_name='HOST', url='https://infisical.devoxx.jbriault.fr') }}"

47. @ju_hnny5 Des notifications sur Être notifié en cas de :

    - Modifications - Expiration d’un secret

48. Le cas du @ju_hnny5 Problème à l’origine : Besoin de

    renouveler le mot de passe des serveurs - Le faire régulièrement - Sans Ansible (outre déployer l’agent) - Permet de valider les contraintes appliquées aux mots de passes renouvelés

49. Le cas du @ju_hnny5

50. C’est l’heure de tout casser la démo !

51. On dit “chiffrer” et pas “crypter” ! @ju_hnny5

52. @ju_hnny5

53. Merci

54. Un feedback ? @ju_hnny5

55. Le code est disponible ici … @ju_hnny5

56. Merci pour votre attention !

57. None