Хранение секретных настроек

Transcript

1. Никита Соболев

2. None

3. О чем я расскажу Про секретные настройки • Про настройки

   в целом • Про рост вашего приложения • Два слова про деплой •

4. Приложение

5. None
6. None
7. None

8. » django-admin startproject my_project

9. » tree my_project my_project ├── __init__.py ├── settings.py ├── urls.py

   └── wsgi.py

10. # Quick-start development settings - unsuitable for production # SECURITY

    WARNING: keep the secret key used in production secret! SECRET_KEY = 'g=atdfmqdd+...ce%@rn7b7^asd8' # SECURITY WARNING: don't run with debug turned on in production! DEBUG = True

11. Минусы • Все в одном файле • Несекретные секретные настройки

    • Одно окружение на все случаи жизни

12. » tree phoenix/config config ├── config.exs ├── dev.exs ├── prod.exs

    ├── prod.secret.exs └── test.exs

13. организаци и настроек setting_local.py • django • -configurations ⁉️ django

    • -split-settings
14. None

15. » tree my_project/settings my_project/settings ├── __init__.py ├── components │ ├──

    __init__.py │ ├── common.py │ ├── database.py │ └── emails.py └── environments ├── __init__.py ├── development.py ├── local.py ├── local.py.template ├── production.py └── testing.py

16. from os import environ from split_settings.tools import optional, include ENV

    = environ.get('DJANGO_ENV') or 'development' base_settings = [ 'components/common.py', 'components/database.py', 'components/emails.py', # Select the right env: 'environments/%s.py' % ENV, optional('environments/local.py'), ] # Include settings: include(*base_settings) http://bit.ly/django-split

17. А секреты?

18. ные окружени я • Самый простой способ • Когда их

    становится много, есть envdir

19. Минусы Предполагает большое количество ручного труда • Невозможно хранить структурированные

    файлы •

20. появляютс я сертифик аты и куча

21. None

22. » git secret init '.gitsecret/' created. » git secret tell

    [email protected] done. [email protected] added. cleaning up... » git secret add -i production.py these files are not ignored: production.py ; auto adding them to .gitignore 1 items added. » git secret hide done. all 1 files are hidden.

23. Минусы • Сложно интегрировать в ephemeral infrastructure • Нужны ключи,

    много ключей • Нет уровней доступа • Можно отозвать доступ, но только к механизму шифрования

24. У вас появляется много частей системы

25. None

26. cat group_vars/webservers/vault.yml $ANSIBLE_VAULT;1.1;AES256 353634524342354353435336230393263653832653 535303665333861444423306466393736653132666262 3463316430376534534133425343653337323 63063303864360a383033623535343737306136363766 ...

27. Минусы Занимается только статическими секретами • Нет уровней доступа •

28. У вас появляется оркестратор

29. None
30. None

31. е части Consul • Consul Service Discovery • Consul Key-Value

    Store • Consul DNS • Consul Template

32. Но в Consul нельзя хранить секреты

33. None

34. http://bit.ly/vault-tut

35. None
36. None
37. None

38. Минусы Сложно •

39. Выводы • Маленький проект --> envdir • Средний проект -->

    git-secret или ansible- vault • Большой проект --> Vault

40. Полезные ссылки • https://www.amon.cx/blog/managing-all-secrets-with- vault/ • https://github.com/tolitius/cault • https://www.linkedin.com/pulse/how-do-pirates-share- treasure-map-dont-trust-each-other-buchanan

    • https://github.com/awslabs/git-secrets • http://git-secret.io/ • https://www.katacoda.com/courses/docker- production/vault-secrets

41. Вопросы [email protected] https://github.com/sobolevn