Copyright © 2021 HashiCorp CI/CDのワークフローを GitHub ActionsとHashiCorp Vaultで セキュアにしよう

Copyright © 2021 HashiCorp 草間一人 Sr. Solutions Engineer @jacopen Kazuto Kusama

CI/CDパイプライン

GitHub Actionsの場合 Actions Actions Actions push trigger trigger trigger Run tests Build Deploy 通知 Cloud Provider Registry

問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests Build Deploy 通知 Cloud Provider Registry

問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests Build Deploy 通知 Cloud Provider Registry Access key, Secret key User/Password Token

問題になる場所 Actions Actions Actions push trigger trigger trigger Run tests Build Deploy 通知 Cloud Provider Registry Access key, Secret key User/Password Token Personal Access Token SSH Key TLS Cert, Key

CI/CDのPipelineには “ちゃんと管理”しないといけない 情報がたくさんある

Vaultで解決しませんか クライアント 認証 ポリシー シークレットエンジン Login and Generate Token Authentication Attach the policy Secret Management Using the Token Dynamic Secret Audit 大事な情報を”ちゃんと”管理 ● 集中管理 ● 安全に保管 ● 安全に利用 ● 利用履歴の記録

シークレットエンジン クラウドプロバイダーのクレデンシャルや 秘密鍵、パスワード、その他機密情報を シンプルに、安全に保管 ▪ K/V Secret Engineを使って機密情報を保存し、素早く取り出す ▪ AWSやAzureなどのクラウドプロバイダーの機密情報を動的に作成した り、SSHの認証やActive Directoryのアクセス権限管理 ▪ 全てのトランザクションをACLで管理し、Audit Logに記録 ▪ 全てのデータは通信中も保管も自動で暗号化

GitHub Actions Vault内の機密情報をGitHub Actionsから利用可能

Demo

Demo On-Prem VM Push Self hosted runner Vault Docker Trigger container image

Additional Resources ● Vault GitHub Actions Learn Guide: https://learn.hashicorp.com/tutorials/vault/github-actions?in=vaul t/app-integration ● GitHub Vault-Action resource: https://github.com/hashicorp/vault-action\ https://github.com/marketplace/actions/vault-secrets ● Secure GitOps Workflows YouTube Webinar: https://www.youtube.com/watch?v=eN8QQCLrpyE

Thank You hello@hashicorp.com www.hashicorp.com