Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Хранение секретных настроек

Moscow Python Meetup
PRO
August 21, 2017
Programming
0
790

Хранение секретных настроек

Никита Соболев (wemake.services) @ Moscow Python Meetup 48
"Говорят, что секреты могут хранить двое, если один из них мёртв. А в веб-разработке обычно участвуют много людей, и для решения задач придумана масса инструментов. Я расскажу, как выбрать правильные инструменты под разные типы проектов".
Видео: http://www.moscowpython.ru/meetup/48/keeping-secrets/

Moscow Python Meetup
PRO

August 21, 2017
Tweet

More Decks by Moscow Python Meetup

See All by Moscow Python Meetup
В поисках идеальной системы сборки
moscowdjango
PRO
0
56
Как установить лицензионную защиту кода на Python и обезопасить данные с помощью HASP?
moscowdjango
PRO
0
23
Улучшаем себе DX при помощи консольных инструментов
moscowdjango
PRO
0
83
Как установить лицензионную защиту кода на Python и обезопасить данные с помощью HASP?
moscowdjango
PRO
0
47
MoscowPython Meetup №80 Александр Шишенко
moscowdjango
PRO
0
120
MoscowPython Meetup №80 - Алексей Панаэтов
moscowdjango
PRO
0
59
Нейрофизиология сложности кода
moscowdjango
PRO
0
98
Управление разработкой в блокчейн-компании
moscowdjango
PRO
0
54
Модель Похожих товаров и её приложения
moscowdjango
PRO
0
85

Other Decks in Programming

See All in Programming
改めて整理するWebアプリのビルド・デプロイの基本【コンテナ編】
os1ma
2
300
#phperkaigi【実録】「PHP_CodeSniffer」で始める快適コードレビューライフ/codereviewlife
mrstsgk
0
150
K/NとNSKeyedArchiverと私
ryunen344
0
180
どこでも動くWebフレームワークをつくる
yusukebe
13
6.5k
CSC308 Lecture 23
javiergs
PRO
0
180
Android端末のNFCを無効化しようとしてダメだった話
mitchan
1
2.8k
日常業務のカイゼンで図る開発チームへの貢献 - YAPC::Kyoto 2023
koluku
4
440
Rustの手続きマクロで黒魔術入門
lemolatoon
2
540
面倒なのは嫌なのでコンテナのマネージドサービスの極振りしたいと思います。
n1215
PRO
1
160
Larastan に自作 OSS ライブラリのテストをぶっ壊された話
mpyw
0
140
PHPで任意精度演算を行って「正しい」金額計算をする方法 / Perform arbitrary precision arithmetic in PHP to achieve "accurate" monetary calculations
hiro_y
1
280
ngrokを使ったLINE Bot開発を超快適にする「linegrok」のご紹介
miso
0
120

Featured

See All Featured
How STYLIGHT went responsive
nonsquared
89
4.2k
Building a Scalable Design System with Sketch
lauravandoore
451
31k
Optimizing for Happiness
mojombo
366
65k
How to train your dragon (web standard)
notwaldorf
66
4.3k
Automating Front-end Workflow
addyosmani
1351
200k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1.3k
Scaling GitHub
holman
453
140k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
44
14k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
14
5.6k
Raft: Consensus for Rubyists
vanstee
130
5.8k
Making Projects Easy
brettharned
102
4.9k
KATA
mclloyd
12
10k

Transcript

  1. Никита Соболев

    View Slide

  2. View Slide

  3. О чем я расскажу
    Про секретные настройки

    Про настройки в целом

    Про рост вашего приложения

    Два слова про деплой

    View Slide

  4. Приложение

    View Slide

  5. View Slide

  6. View Slide

  7. View Slide

  8. » django-admin startproject my_project

    View Slide

  9. » tree my_project
    my_project
    ├── __init__.py
    ├── settings.py
    ├── urls.py
    └── wsgi.py

    View Slide

  10. # Quick-start development settings - unsuitable for production
    # SECURITY WARNING: keep the secret key used in production secret!
    SECRET_KEY = 'g=atdfmqdd+...ce%@rn7b7^asd8'
    # SECURITY WARNING: don't run with debug turned on in production!
    DEBUG = True

    View Slide

  11. Минусы
    • Все в одном файле
    • Несекретные секретные настройки
    • Одно окружение на все случаи жизни

    View Slide

  12. » tree phoenix/config
    config
    ├── config.exs
    ├── dev.exs
    ├── prod.exs
    ├── prod.secret.exs
    └── test.exs

    View Slide

  13. организаци
    и настроек
    setting_local.py


    django
    • -configurations ⁉️
    django
    • -split-settings

    View Slide

  14. View Slide

  15. » tree my_project/settings
    my_project/settings
    ├── __init__.py
    ├── components
    │ ├── __init__.py
    │ ├── common.py
    │ ├── database.py
    │ └── emails.py
    └── environments
    ├── __init__.py
    ├── development.py
    ├── local.py
    ├── local.py.template
    ├── production.py
    └── testing.py

    View Slide

  16. from os import environ
    from split_settings.tools import optional, include
    ENV = environ.get('DJANGO_ENV') or 'development'
    base_settings = [
    'components/common.py',
    'components/database.py',
    'components/emails.py',
    # Select the right env:
    'environments/%s.py' % ENV,
    optional('environments/local.py'),
    ]
    # Include settings:
    include(*base_settings)
    http://bit.ly/django-split

    View Slide

  17. А секреты?

    View Slide

  18. ные
    окружени
    я
    • Самый простой способ
    • Когда их становится много, есть envdir

    View Slide

  19. Минусы
    Предполагает большое количество ручного труда

    Невозможно хранить структурированные файлы

    View Slide

  20. появляютс
    я
    сертифик
    аты и куча

    View Slide

  21. View Slide

  22. » git secret init
    '.gitsecret/' created.
    » git secret tell [email protected]
    done. [email protected] added.
    cleaning up...
    » git secret add -i production.py
    these files are not ignored: production.py ;
    auto adding them to .gitignore
    1 items added.
    » git secret hide
    done. all 1 files are hidden.

    View Slide

  23. Минусы
    • Сложно интегрировать в ephemeral infrastructure
    • Нужны ключи, много ключей
    • Нет уровней доступа
    • Можно отозвать доступ, но только к механизму
    шифрования

    View Slide

  24. У вас появляется
    много частей системы

    View Slide

  25. View Slide

  26. cat group_vars/webservers/vault.yml
    $ANSIBLE_VAULT;1.1;AES256
    353634524342354353435336230393263653832653
    535303665333861444423306466393736653132666262
    3463316430376534534133425343653337323
    63063303864360a383033623535343737306136363766
    ...

    View Slide

  27. Минусы
    Занимается только статическими секретами

    Нет уровней доступа

    View Slide

  28. У вас появляется
    оркестратор

    View Slide

  29. View Slide

  30. View Slide

  31. е части
    Consul
    • Consul Service Discovery
    • Consul Key-Value Store
    • Consul DNS
    • Consul Template

    View Slide

  32. Но в Consul нельзя
    хранить секреты

    View Slide

  33. View Slide

  34. http://bit.ly/vault-tut

    View Slide

  35. View Slide

  36. View Slide

  37. View Slide

  38. Минусы
    Сложно

    View Slide

  39. Выводы
    • Маленький проект --> envdir
    • Средний проект --> git-secret или ansible-
    vault
    • Большой проект --> Vault

    View Slide

  40. Полезные ссылки
    • https://www.amon.cx/blog/managing-all-secrets-with-
    vault/
    • https://github.com/tolitius/cault
    • https://www.linkedin.com/pulse/how-do-pirates-share-
    treasure-map-dont-trust-each-other-buchanan
    • https://github.com/awslabs/git-secrets
    • http://git-secret.io/
    • https://www.katacoda.com/courses/docker-
    production/vault-secrets

    View Slide

  41. Вопросы
    [email protected]
    https://github.com/sobolevn

    View Slide