Slide 1

Slide 1 text

Copyright © 2021 HashiCorp HashiCorp VaultとTKG(TCE)で Secretを良い感じに管理する

Slide 2

Slide 2 text

Copyright © 2021 HashiCorp 草間一人 Sr. Solutions Engineer @jacopen Kazuto Kusama

Slide 3

Slide 3 text

Secretってありますよね kind: Secret apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: { ... } creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" uid: cfee02d6-c137-11e5-8d73-42010af00002 type: Opaque

Slide 4

Slide 4 text

Secretってありますよね kind: Secret apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: { ... } creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" uid: cfee02d6-c137-11e5-8d73-42010af00002 type: Opaque “admin” “1f2d1e2e67df” Base64エンコードされているだけ。Git等に入れるのはNG

Slide 5

Slide 5 text

せっかくGitOpsにしたのに Secret Secret

Slide 6

Slide 6 text

せっかくGitOpsにしたのに Secret Secret 間違えてgitに コミットしちゃった! あの鍵って誰が 管理してるの?

Slide 7

Slide 7 text

Secretのジレンマ ▪ Secretが大事なことは誰もが分かってる ▪ だから既存の自動化フローには載せず、特別対応 – 一部の人だけが手元で厳重に管理 – 権限を絞ったプライベートリポジトリで管理 – 権限を絞ったSpreadsheetで管理 ▪ しかしこの特別対応こそが、Secret Sprawlを生みセキュリティを低 下させる – 人間が把握できる範囲には限界がある – 人間はミスをする

Slide 8

Slide 8 text

ちゃんと管理しましょう!

Slide 9

Slide 9 text

こういう管理ができればいい 信頼できる シークレット 管理基盤

Slide 10

Slide 10 text

アイデンティティベースの シークレットと暗号化の管理システム OSSで提供されているほか、商用版のVault EnterpriseやHCP VaultというManaged Serviceも あります。

Slide 11

Slide 11 text

こうなる

Slide 12

Slide 12 text

僕たちが欲しいもの シークレットを”ちゃん と管理”できること

Slide 13

Slide 13 text

僕たちが欲しいもの 暗号化され安全に 管理されている 追加・削除がすぐ出 来る

Slide 14

Slide 14 text

僕たちが欲しいもの 誰が使っているか を特定できる 利用者ごとにポリ シーを設定出来る Admin アプリ

Slide 15

Slide 15 text

僕たちが欲しいもの 安全に 使える 効率的に 使える

Slide 16

Slide 16 text

k8sに限らず、ありとあらゆるケースで活用可能 今回はk8s+Vaultの組み合わせを中心に紹介

Slide 17

Slide 17 text

利用方法 or or Server ここで集中管理

Slide 18

Slide 18 text

利用方法 or or Server CLI GUI API Interface Client Admin アプリ CI/CD さまざまな人/システムが、さま ざまな方法でアクセス

Slide 19

Slide 19 text

デプロイ方法 Helmを使ってk8sの中に セットアップ

Slide 20

Slide 20 text

デプロイ方法 k8sの外に建てたVaultと連携

Slide 21

Slide 21 text

デプロイ方法 HCP VaultだとHashiCorp ManagedなVaultが使える

Slide 22

Slide 22 text

認証 Otka JWT/OIDC LDAP Azure AD AWS IAM GitHub Token etc… AppRole Kubernetes TLS Certs

Slide 23

Slide 23 text

シンプルな例 - KV Secrets Engine GUIもしくはCLIでVaultに値を保存 vault kv put kv/secret/path foo=bar or GUI CLI foo=bar

Slide 24

Slide 24 text

Kubernetesを経由してアプリに渡す foo=bar アプリ vault-agent foo=bar foo=bar init-container or Sidecar

Slide 25

Slide 25 text

Kubernetesを経由してアプリに渡す Vault Agent InjectorをKubernetes 上にセットアップ。Helmでインストー ル可能 Mutating webhookでPodにInit containerやSidecarを追加してくれ る

Slide 26

Slide 26 text

CODE EDITOR {{- with secret "internal/data/database/config" -}} postgresql://{{ .Data.data.username }}:{{ .Data.data.password }}@postgres:5432/wizard {{- end -}}

Slide 27

Slide 27 text

CODE EDITOR spec: template: metadata: annotations: vault.hashicorp.com/agent-inject: "true" vault.hashicorp.com/agent-inject-status: "update" vault.hashicorp.com/role: "internal-app" vault.hashicorp.com/agent-inject-secret-database-config.txt: "internal/data/database/config" vault.hashicorp.com/agent-inject-template-database-config.txt: | {{- with secret "internal/data/database/config" -}} postgresql://{{ .Data.data.username }}:{{ .Data.data.password }}@postgres:5432/wizard {{- end -}}

Slide 28

Slide 28 text

TERMINAL > kubectl exec payroll --container payroll \ -- cat /vault/secrets/database-config.txt postgresql://db-readonly-user:db-secret-password@postgres:5432/wizard Render されたTemplate

Slide 29

Slide 29 text

Kubernetesを経由してアプリに渡す (CSI Provider) foo=bar アプリ CSI Provider foo=bar foo=bar ボリュームとして Podにマウント

Slide 30

Slide 30 text

Kubernetesを経由してアプリに渡す (CSI Provider)

Slide 31

Slide 31 text

Kubernetesを経由してアプリに渡す (Kubernetes External Secrets) https://github.com/external-secrets/external-secrets External Secrets Controller Secrets foo=bar foo=bar kube-apiserver External Secrets

Slide 32

Slide 32 text

External Secrets Operator ▪ 前述のKubernetes External Secrets (KES)は メンテナンスモードに ▪ 後継のExternal Secrets Operatorが登場 – https://github.com/external-secrets/external-secrets – Vaultにも対応 – まだ試したことないので誰か教えてください

Slide 33

Slide 33 text

証明書まわりの機能

Slide 34

Slide 34 text

PKI ルート認証局 X.509証明書 ● Vault を中間認証局として設定 ● 認証や暗号化通信に必要な署名済みの X.509証明書を動的に発行 X.509証明書 Signed X.509証明書 Lease Lease Application A Application B 中間認証局

Slide 35

Slide 35 text

PKI ルート認証局 X.509証明書 Signed Application A Application B 中間認証局 Certificates Secret Certificates Secret

Slide 36

Slide 36 text

Tanzuならではの活用

Slide 37

Slide 37 text

こいつの扱いに困る! tanzu management-cluster create -f management.yaml

Slide 38

Slide 38 text

consul-template Vault上の secrets/tkg/clusters/workload から値を持ってくる それをBase64エンコードする

Slide 39

Slide 39 text

consul-template consul-template -template "/tmp/template.yaml:/tmp/cluster.yaml" -once

Slide 40

Slide 40 text

紹介しきれないので まずは触ってみて! $ vault server -dev

Slide 41

Slide 41 text

Thank You [email protected] www.hashicorp.com