Secrets and Service Discovery

Slide 1

Slide 1 text

Secret Management and Service Discovery José F. Romaniello [email protected]

Slide 2

Slide 2 text

Resumen - ¿Qué es Auth0? - AWS KMS - AWS DynamoDB - Credstash - Lambda - Route 53

Slide 3

Slide 3 text

● Identity as a service platform. ● 3 Regions ● 3 Deployment Models ● 170K Applications ● 35M Active Users ● 42M Logins per day ● 40 Core Engineers ● 200 Employees ● 10 Crews ¿Qué es Auth0?

Slide 4

Slide 4 text

Secret Management - Ejemplos: - Database Passwords - API Keys - Certificates - Preguntas: - ¿Dónde almaceno? - ¿Cómo leo? - ¿Cómo se rota? - ¿Quién tiene acceso?

Slide 5

Slide 5 text

Secret Management $ git commit -am "add mysql database password"

Slide 6

Slide 6 text

Credstash: AWS KMS + DynamoDB Secret Management

Slide 7

Slide 7 text

KMS: Key Management Service API: ● KMS.createKey({}) => KeyId ● KMS.createAlias({ KeyId, AliasName }) ● KMS.encrypt({ KeyId, PlainText }) => Ciphertext ● KMS.decrypt({ KeyId, Ciphertext }) => PlainText Secret Management - AWS KMS

Slide 8

Slide 8 text

Document store, casi un key-value store. API: ● DocumentClient.put({ TableName, Item }) ● DocumentClient.get({ TableName, Key }) => doc Secret Management - AWS DynamoDB

Slide 9

Slide 9 text

Secret Management

Slide 10

Slide 10 text

Secret Management

Slide 11

Slide 11 text

Secret Management ACL basado en Policies

Slide 12

Slide 12 text

Secret Management Otras características: ● Master key rotation manejado por AWS ● ACL basado en policies ● Audit con CloudTrail ● Secret versioning ● Subscribe to secret rotation (DynamoDB Streams)

Slide 13

Slide 13 text

Secret Management Formas de usarlo: ● python, ruby, go, node.js, .net, java ● envcredstash ● VAR=$(credstash get x)

Slide 14

Slide 14 text

Service Discovery Nos permite ● Ubicar dónde están ejecutándose los servicios. ● Aumentar capacidad y/o redundancia sin reconfigurar los consumers. ● Ganado, no mascotas.

Slide 15

Slide 15 text

DNS ● Funciona a la escala de internet ● Rápido ● Familiar Service Discovery

Slide 16

Slide 16 text

Service Discovery

Slide 17

Slide 17 text

Service Discovery Route 53 ● Integrado en AWS ● Barato ● Escala ● Features ● API sencilla ● Alto SLA ● Externo / Interno Cons: ● Difícil de replicar (cli53)

Slide 18

Slide 18 text

Service Discovery