Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CI/CDのワークフローをGitHub ActionsとHashiCorp Vaultでセキュアにしよう

CI/CDのワークフローをGitHub ActionsとHashiCorp Vaultでセキュアにしよう

HashiCorpのWebinarで利用した資料です!
動画はこちらから
https://www.hashicorp.com/events/webinars/ci-cd-github-actions-hashicorp-vault-jp

Cbc297b07593321e52c75a9ebcc0f843?s=128

Kazuto Kusama

January 26, 2022
Tweet

More Decks by Kazuto Kusama

Other Decks in Technology

Transcript

  1. Copyright © 2021 HashiCorp CI/CDのワークフローを GitHub ActionsとHashiCorp Vaultで セキュアにしよう

  2. Copyright © 2021 HashiCorp 草間一人 Sr. Solutions Engineer @jacopen Kazuto

    Kusama
  3. CI/CDパイプライン

  4. GitHub Actionsの場合 Actions Actions Actions push trigger trigger trigger Run

    tests Build Deploy 通知 Cloud Provider Registry
  5. 問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests

    Build Deploy 通知 Cloud Provider Registry
  6. 問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests

    Build Deploy 通知 Cloud Provider Registry Access key, Secret key User/Password Token
  7. 問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests

    Build Deploy 通知 Cloud Provider Registry Access key, Secret key User/Password Token Personal Access Token SSH Key TLS Cert, Key
  8. CI/CDのPipelineには “ちゃんと管理”しないといけない 情報がたくさんある

  9. Vaultで解決しませんか クライアント 認証 ポリシー シークレットエンジン Login and Generate Token Authentication

    Attach the policy Secret Management Using the Token Dynamic Secret Audit 大事な情報を”ちゃんと”管理 • 集中管理 • 安全に保管 • 安全に利用 • 利用履歴の記録
  10. シークレットエンジン クラウドプロバイダーのクレデンシャルや 秘密鍵、パスワード、その他機密情報を シンプルに、安全に保管 ▪ K/V Secret Engineを使って機密情報を保存し、素早く取り出す ▪ AWSやAzureなどのクラウドプロバイダーの機密情報を動的に作成した

    り、SSHの認証やActive Directoryのアクセス権限管理 ▪ 全てのトランザクションをACLで管理し、Audit Logに記録 ▪ 全てのデータは通信中も保管も自動で暗号化
  11. GitHub Actions Vault内の機密情報をGitHub Actionsから利用可能

  12. Demo

  13. Demo On-Prem VM Push Self hosted runner Vault Docker Trigger

    container image
  14. Additional Resources • Vault GitHub Actions Learn Guide: https://learn.hashicorp.com/tutorials/vault/github-actions?in=vaul t/app-integration

    • GitHub Vault-Action resource: https://github.com/hashicorp/vault-action\ https://github.com/marketplace/actions/vault-secrets • Secure GitOps Workflows YouTube Webinar: https://www.youtube.com/watch?v=eN8QQCLrpyE
  15. Thank You hello@hashicorp.com www.hashicorp.com