Terraformのシークレット管理できていますか？# HashiCorp Vaultのすすめ

Transcript

1. Terraformのシークレット管理できていますか？ # HashiCorp Vaultのすすめ 前野 勇気

2. Agenda 1. シークレットの課題 2. HashiCorp Vault 3. まとめ 4. おまけ

3. 01 シークレットの課題

4. © 2022 LAC Co., Ltd. シークレットにまつわるインシデント事例 シークレットの使いまわし 不必要な権限 記録不備 平文で開発者のPCに保管

   被害が拡大した４つの原因 A社開発者が管理するクラウドのシークレットが漏洩し、攻撃者が仮想通貨採掘のための 仮想マシンを構築し高額請求が発生した事例。 LAC救急センターレポート『2020春 特集 クラウドでのインシデント対応事例』 https://www.lac.co.jp/lacwatch/pdf/20200130_cecreport_vol8.pdf ※p.14参照

5. © 2022 LAC Co., Ltd. Terraformのシークレットの課題 Terraformでは、クラウドプロバイダーに認証するためのシークレットが必要ですが、その 管理が十分でないケースがあります。 Terraform OSSの場合

   Terraform CloudまたはEnterpriseの場合 aws configureコマンドを使って、クラウドの 認証情報をローカルに平文で保管している 認証情報を暗号化しているが、権限の適切 さやローテーションの頻度を確認できない

6. © 2022 LAC Co., Ltd. クラウドのシークレットのプラクティス（AWSの場合） AWSのシークレットの管理を向上する対策として、下記２つの手法があります。 1. Sensitiveオプションを有効化して、暗号化して保管する 2.

   IAM Roleを活用して、運用コストを削減する Terraform OSSやTerraform Cloudエージェントをホストする サーバに対して、プロビジョニングに必要な権限をAWS側 （IAM Role）で定義することで、権限変更時のシークレットの 設定を容易にすることができます。 ※ロールスイッチするためのIAM Userのシークレットの管理は 必要

7. © 2022 LAC Co., Ltd. 開発現場全体におけるシークレットの課題 Terraformに限らず、開発現場ではあらゆるーシークレットが存在し、 漏洩のリスクに晒されています。 インフラ チーム

   開発 チーム ユーザー パイプライン プラットフォーム アプリケーション VM コンテナ DB ・ID・パスワード ・APIキー ・SSHキー ・クライアント証明書 ・APIキー ・認証トークン ・APIキー ・認証トークン ・ID、パスワード ・サーバ証明書 ・証明書の秘密鍵 個人が管理するシー クレットは、組織が 把握しにくい ソースコードから シークレットが漏洩 する場合もある サーバのシークレット 漏洩は、侵入やデータ 流出の危険がある プラットフォーム毎 に管理すると運用負 担が高い

8. © 2022 LAC Co., Ltd. 開発現場全体におけるシークレットの課題 シークレット管理では下記２つの課題を解決する必要があります インフラ チーム 開発

   チーム ユーザー パイプライン プラットフォーム アプリケーション VM コンテナ DB 1. シークレットを人の手で発行・更新・廃止を行うことは、漏洩のリスクが高い 2. プラットフォーム毎にシークレット管理方法を決定すると運用負荷が高い

9. © 2022 LAC Co., Ltd. 開発現場全体におけるシークレットの課題 -HashiCorpによる解決- シークレットを一元化し、自動管理することで漏洩のリスクを軽減できます インフラ チーム

   開発 チーム ユーザー パイプライン プラットフォーム アプリケーション VM コンテナ DB ・ID・パスワード ・APIキー ・SSHキー ・クライアント証明書 ・APIキー ・認証トークン ・APIキー ・認証トークン ・ID、パスワード ・サーバ証明書 ・証明書の秘密鍵

10. 02 HashiCorp Vault

11. © 2022 LAC Co., Ltd. HashiCorp Vaultとは •Vault（ヴォルト、金庫）を指す •「シークレット管理」「データプロテク ション」の2つの機能

    •提供形態は、ソフトウェア及びSaaS •金融機関や製造業等の高いセキュリティ レベルが要求される組織でも採用

12. © 2022 LAC Co., Ltd. Vaultによるシークレット管理ワークフロー クライアント IDプロバイダー シークレットプロバイダー 開発者

    アプリケーション ログイン 認証連携 シークレットの 発行を要求 シークレットの 発行を要求 シークレットを返却 シークレットを返却 シークレット管理システム 有効期限を付与 暗号化 ポリシーチェック Vaultを導入することでシークレット管理の自動化と一元化を実現できます 監査証跡

13. © 2022 LAC Co., Ltd. ユースケース -GitHub Actionsによるパイプライン構築例- 開発者 ①コードコミット

    ジョブ実行 actions GithubActions実行時に必要なシークレットの管理をVaultで一元化・自動化することができます。 ②シークレットの要求 ③シークレットの作成要求 ②シークレットの返却 ④IAM Userの作成 ⑤アクセスキーおよび シークレットキーの返却 プロビジョニング ※参考-HashiCorp Vault + GitHub Actions OIDC を使った workflow からの安全なシークレットアクセス https://zenn.dev/jrsyo/articles/e954e907dcedeb 例：TerraformでAWSを構築するパイプラインの場合

14. © 2022 LAC Co., Ltd. ユースケース -GitHub Actionsによるパイプライン構築例- 開発者 ①コードコミット

    ジョブ実行 actions GithubActions実行時に必要なシークレットの管理をVaultで一元化・自動化することができます。 GitHub ActionsがVaultにログインする際には、 Github OIDCの認証方式を利用することで、認証情 報の管理が容易になります。 https://docs.github.com/ja/actions/deployment/s ecurity-hardening-your-deployments/configuring- openid-connect-in-hashicorp-vault ②シークレットの要求 ③シークレットの作成要求 ②シークレットの返却 ④IAM Userの作成 ⑤アクセスキーおよび シークレットキーの返却 プロビジョニング 一定時間後にVaultがIAM Userを削除す ることで、シークレットに有効期限を つけることができる。 https://www.vaultproject.io/docs/sec rets/aws#aws-secrets-engine ※参考-HashiCorp Vault + GitHub Actions OIDC を使った workflow からの安全なシークレットアクセス https://zenn.dev/jrsyo/articles/e954e907dcedeb 例：TerraformでAWSを構築するパイプラインの場合 今秋からHCP Vaultの日本リージョンでの提供が開 始され、Vaultの利用形態について幅が広がります。 https://japan.zdnet.com/article/35191382/

15. © 2022 LAC Co., Ltd. HashiCorp Vaultを採用する利点 1. Dynamic Secrets

    シークレットの交付・更新・廃止を自動化することで、人的ミスによる漏洩のリスクを削減します。 2. マルチ/ハイブリッドクラウド、APIドリブン 多数のシークレットの種類に対応すること、既存のワークフローに組み込むことができ、シーク レットの一元化を実現します。 シークレット管理の課題についてVaultを採用すべき理由は大きく分けて２つあります。

16. 03 まとめ

17. © 2022 LAC Co., Ltd. 本日のまとめ Terraformを利用するユーザーにおいて、Day0からDay1,2に進むにあたり 運用の課題（特にシークレット管理）が見えてきます。 これを機会に、Terraformを含む開発プロセスの自動化全体のシークレット 運用を検討してみてはいかがでしょうか？

    HashiCorp Vaultは、有用な解決方法の一つになるはずです。 部分最適ではなく全体最適を考える

18. 05 おまけ

19. © 2022 LAC Co., Ltd. Vault Users Group Japan HashiCorp

    Japanが運営するVaultのユーザーコミュニティです。 Vaultを使っている人、これから使ってみたい人は誰でも参加可能です。 Vaultに関連するイベント情報やリリース情報を入手することができますのでぜひご参加くだ さい。 こちらのページのslack招待リンクから参加することができます。 https://vault.connpass.com/

20. © 2022 LAC Co., Ltd. 株式会社ラック ラックは、サイバーセキュリティとSIの会社ですが お客様のクラウド運用の課題を解決し、組織のIT戦略を最適化するための新たな提案を行うべく、 2018年にHashiCorpと協業を開始しました。 2021年には、HashiCorp社より、国内企業として初めてHashiCorpリセラーの最高ランクである

    Hyper-Specialized Partnerに認定されました。 https://www.lac.co.jp/news/2021/06/29_news_01.html 本日のテーマであるHashiCorp Vaultについても、国内の販売・導入・構築実績がございます。 シークレットを含むクラウド運用についてお悩みの方は、ぜひラックにご相談ください ラック HashiCorp製品ページ https://www.lac.co.jp/solution_product/hashicorp.html ラック HashiCorp製品お問合せ窓口 [email protected]

21. © 2022 LAC Co., Ltd. ※本資料は2022年4月の情報に基づいて作成しており、記載内容は予告なく変更される場合があります。 ※本資料に掲載の図は、資料作成用のイメージカットであり、実際とは異なる場合があります。 ※本資料は、弊社が提供するサービスや製品などの導入検討のためにご利用いただき、他の目的のためには利用し ないようご注意ください。 ※

    LAC、ラック、JSOC、サイバー救急センターは株式会社ラックの登録商標です。 ※その他記載されている会社名、製品名は一般に各社の商標または登録商標です。 Any Questions?