Secrets and Service Discovery

Transcript

1. Secret Management and Service Discovery José F. Romaniello [email protected]

2. Resumen - ¿Qué es Auth0? - AWS KMS - AWS

   DynamoDB - Credstash - Lambda - Route 53

3. • Identity as a service platform. • 3 Regions •

   3 Deployment Models • 170K Applications • 35M Active Users • 42M Logins per day • 40 Core Engineers • 200 Employees • 10 Crews ¿Qué es Auth0?

4. Secret Management - Ejemplos: - Database Passwords - API Keys

   - Certificates - Preguntas: - ¿Dónde almaceno? - ¿Cómo leo? - ¿Cómo se rota? - ¿Quién tiene acceso?

5. Secret Management $ git commit -am "add mysql database password"

6. Credstash: AWS KMS + DynamoDB Secret Management

7. KMS: Key Management Service API: • KMS.createKey({}) => KeyId •

   KMS.createAlias({ KeyId, AliasName }) • KMS.encrypt({ KeyId, PlainText }) => Ciphertext • KMS.decrypt({ KeyId, Ciphertext }) => PlainText Secret Management - AWS KMS

8. Document store, casi un key-value store. API: • DocumentClient.put({ TableName,

   Item }) • DocumentClient.get({ TableName, Key }) => doc Secret Management - AWS DynamoDB

9. Secret Management

10. Secret Management

11. Secret Management ACL basado en Policies

12. Secret Management Otras características: • Master key rotation manejado por

    AWS • ACL basado en policies • Audit con CloudTrail • Secret versioning • Subscribe to secret rotation (DynamoDB Streams)

13. Secret Management Formas de usarlo: • python, ruby, go, node.js,

    .net, java • envcredstash • VAR=$(credstash get x)

14. Service Discovery Nos permite • Ubicar dónde están ejecutándose los

    servicios. • Aumentar capacidad y/o redundancia sin reconfigurar los consumers. • Ganado, no mascotas.

15. DNS • Funciona a la escala de internet • Rápido

    • Familiar Service Discovery

16. Service Discovery

17. Service Discovery Route 53 • Integrado en AWS • Barato

    • Escala • Features • API sencilla • Alto SLA • Externo / Interno Cons: • Difícil de replicar (cli53)

18. Service Discovery