CI/CDのワークフローをGitHub ActionsとHashiCorp Vaultでセキュアにしよう

Transcript

1. Copyright © 2021 HashiCorp CI/CDのワークフローを GitHub ActionsとHashiCorp Vaultで セキュアにしよう

2. Copyright © 2021 HashiCorp 草間一人 Sr. Solutions Engineer @jacopen Kazuto

   Kusama

3. CI/CDパイプライン

4. GitHub Actionsの場合 Actions Actions Actions push trigger trigger trigger Run

   tests Build Deploy 通知 Cloud Provider Registry

5. 問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests

   Build Deploy 通知 Cloud Provider Registry

6. 問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests

   Build Deploy 通知 Cloud Provider Registry Access key, Secret key User/Password Token

7. 問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests

   Build Deploy 通知 Cloud Provider Registry Access key, Secret key User/Password Token Personal Access Token SSH Key TLS Cert, Key

8. CI/CDのPipelineには “ちゃんと管理”しないといけない 情報がたくさんある

9. Vaultで解決しませんか クライアント 認証 ポリシー シークレットエンジン Login and Generate Token Authentication

   Attach the policy Secret Management Using the Token Dynamic Secret Audit 大事な情報を”ちゃんと”管理 • 集中管理 • 安全に保管 • 安全に利用 • 利用履歴の記録

10. シークレットエンジン クラウドプロバイダーのクレデンシャルや 秘密鍵、パスワード、その他機密情報を シンプルに、安全に保管 ▪ K/V Secret Engineを使って機密情報を保存し、素早く取り出す ▪ AWSやAzureなどのクラウドプロバイダーの機密情報を動的に作成した

    り、SSHの認証やActive Directoryのアクセス権限管理 ▪ 全てのトランザクションをACLで管理し、Audit Logに記録 ▪ 全てのデータは通信中も保管も自動で暗号化

11. GitHub Actions Vault内の機密情報をGitHub Actionsから利用可能

12. Demo

13. Demo On-Prem VM Push Self hosted runner Vault Docker Trigger

    container image

14. Additional Resources • Vault GitHub Actions Learn Guide: https://learn.hashicorp.com/tutorials/vault/github-actions?in=vaul t/app-integration

    • GitHub Vault-Action resource: https://github.com/hashicorp/vault-action\ https://github.com/marketplace/actions/vault-secrets • Secure GitOps Workflows YouTube Webinar: https://www.youtube.com/watch?v=eN8QQCLrpyE

15. Thank You [email protected] www.hashicorp.com