Upgrade to Pro — share decks privately, control downloads, hide ads and more …

改めて学ぶ、Vaultの基本

Kazuto Kusama
December 16, 2021

 改めて学ぶ、Vaultの基本

Vault Meetup #1で発表した資料です。
HashiCorp Vaultって何をするもの?どう便利なのか?をまとめました。

Kazuto Kusama

December 16, 2021
Tweet

More Decks by Kazuto Kusama

Other Decks in Technology

Transcript

  1. これから話すこと ▪ HashiCorp Vaultって何だっけ? 何が便利なんだっけ? という話 をします ▪ Vaultを知らない、もしくは名前は知っているけど 活用はこれからという人向けです

    ▪ 既にバリバリ使っている人には既知の話が多いです – Vaultの必要性を他の人に説明するときの 説明方法の一つとして見てもらうといいかも
  2. AWSのAccess key/ secret access key データベースのメンテナンス用 User/Pass SSHのAuthorized keys ***

    / *** *** / *** それぞれがKeyを 手元で管理している メンテ用のuser/pass を共有している 各ユーザーの公開鍵 をauthorized_keysに 設定している パスワード制限した 台帳で管理している
  3. AWSのAccess key/ secret access key データベースのメンテナンス用 User/Pass SSHのAuthorized keys ***

    / *** *** / *** 間違えてgitに コミットしちゃった! 退職してもメンテ用パ スワードは内緒にね ! 退職した人の公開鍵 が登録されたまま つまり ちゃんと管理 できてない状態 何者かによって 台帳の中身が流出
  4. クラウド時代の秘密情報の管理 従来の秘密情報の管理 • ネットワークの境界を中と外で明確に分 割 • 自社が管理する信頼性の高いネット ワークを前提に管理 クラウド時代においては・・・ •

    IaaS, SaaSベンダーが管理するネットワー クとデータセンターの相互運用 • ネットワークの境界が曖昧になり、 Identityベースでの管理が必要 静的なインフラ環境 動的なインフラ環境
  5. Secretのジレンマ ▪ Secretが大事なことは誰もが分かってる ▪ だから既存の自動化フローには載せず、特別対応 – 一部の人だけが手元で厳重に管理 – 権限を絞ったプライベートリポジトリで管理 –

    権限を絞ったSpreadsheetで管理 ▪ しかしこの特別対応こそが、Secret Sprawlを生みセキュリティを低 下させる – 人間が把握できる範囲には限界がある – 人間はミスをする
  6. The Tao of HashiCorp Workflows, not Technologies HashiCorpのアプローチは、根底にある技術より、むしろ ワークフ ローの最終ゴールに焦点をあてています

    。ソフトウェアやハード ウェアは進化し、改善されていくものですが、我々の目標は、新し いツールの導入を簡単にし、かつ可能な限り合理的なユーザー 体験を提供することにあります。我々の製品設計は、目標を達成 するためのワークフローを想像するところから始まります。次に、 ワークフローを単純化するための既存のツールを探します。 もし十分なツールが存在ければ、我々がそれを作ります。このよ うにして、我々は基本的に技術にとらわれない考え方をしていま す。 技術が進化し、より優れたツールが登場すれば、理想的なワーク フローは更新されます。技術が変わっても、最終的な目標は変わ りません。
  7. 利用方法 or or Server CLI GUI API Interface Client Admin

    アプリ CI/CD さまざまな人/システムが、さま ざまな方法でアクセス
  8. 認証 Otka JWT/OIDC LDAP Azure AD AWS IAM GitHub Token

    etc… AppRole Kubernetes TLS Certs
  9. CODE EDITOR spec: template: metadata: annotations: vault.hashicorp.com/agent-inject: "true" vault.hashicorp.com/agent-inject-status: "update"

    vault.hashicorp.com/role: "internal-app" vault.hashicorp.com/agent-inject-secret-database-config.txt: "internal/data/database/config" vault.hashicorp.com/agent-inject-template-database-config.txt: | {{- with secret "internal/data/database/config" -}} postgresql://{{ .Data.data.username }}:{{ .Data.data.password }}@postgres:5432/wizard {{- end -}}
  10. TERMINAL > kubectl exec payroll --container payroll \ -- cat

    /vault/secrets/database-config.txt postgresql://db-readonly-user:db-secret-password@postgres:5432/wizard Render されたTemplate
  11. Cert-manager apiVersion: cert-manager.io/v1 kind: Issuer metadata: name: vault-issuer namespace: sandbox

    spec: vault: path: pki_int/sign/example-dot-com server: https://vault.local caBundle: <base64 encoded CA Bundle PEM file> auth: ... apiVersion: cert-manager.io/v1 kind: Certificate metadata: name: app-cert spec: dnsNames: - '*.example.local' issuerRef: kind: ClusterIssuer name: vault-issuer secretName: app-cert
  12. Encryption as a Service • データの暗号化/復号の中継地点 暗号化/復号 Application A Application

    B PII PII = Personal Identifiable Information PII 暗号化 復号 暗号鍵 PII PII データベース 書き込み 読み出し
  13. Vaultの暗号化機能の活用例 アプリ S3 #1 データ の暗号化 #2 暗号 データを格 納

    悪意のある内部ユーザ ❌ AWSの権限だけではデータを 取ることはできない 研究データ 個人情報