CyberARK Conjur
Conjur - бесплатный password vault, приобретенный компанией CyberARK. Является прямым аналогом HashiCorp Vault. Conjur обеспечивает доступ к секретам путем жесткого контроля секретов с помощью детального контроля доступа на основе ролей (RBAC). Есть большое количество интеграций: Terraform, Jenkins, OpenShift, k8s, AWS и тд. Поставляется в виде docker-контейнера. Среди API: REST, CLI client, Java API, Go, Ruby, NET.
Имеется также entreprise-версия - CyberARK DAP. Отличительные фичи платной версии - кластеризация из коробки, веб-интерфейс, интеграция с CyberARK PAS.
Видео-демонстрация
Интеграция Conjur и OpenShift.
Пример взаимодействия с Conjur
#tools #vault #ops
Conjur - бесплатный password vault, приобретенный компанией CyberARK. Является прямым аналогом HashiCorp Vault. Conjur обеспечивает доступ к секретам путем жесткого контроля секретов с помощью детального контроля доступа на основе ролей (RBAC). Есть большое количество интеграций: Terraform, Jenkins, OpenShift, k8s, AWS и тд. Поставляется в виде docker-контейнера. Среди API: REST, CLI client, Java API, Go, Ruby, NET.
Имеется также entreprise-версия - CyberARK DAP. Отличительные фичи платной версии - кластеризация из коробки, веб-интерфейс, интеграция с CyberARK PAS.
Видео-демонстрация
Интеграция Conjur и OpenShift.
Пример взаимодействия с Conjur
#tools #vault #ops
HashiTalks 2020
Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании
Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов
Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру
Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей
Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.
Полная программа следующим постом (лучше поздно, чем никогда)
#talks #aws #vault #ops
Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании
Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов
Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру
Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей
Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.
Полная программа следующим постом (лучше поздно, чем никогда)
#talks #aws #vault #ops
HashiCorp
Shifting Terraform Configuration Security Left
How do you know if the HCL you're writing will result in secure infrastructure? How can you write tests to catch common problems?
Forwarded from Sysadmin Tools 🇺🇦
Securing Vault with HSM on Kubernetes
https://banzaicloud.com/blog/vault-hsm/
#kubernetes #k8s #vault
https://banzaicloud.com/blog/vault-hsm/
#kubernetes #k8s #vault
Banzaicloud
Securing Vault with HSM on Kubernetes
From the beginning, Bank-Vaults has been one of the core building blocks of Pipeline - Banzai Cloud’s container management platform for hybrid clouds. Today we are happy to announce the release of Bank-Vaults 1.0, and the official launch of Bank-Vaults as…
HashiCorp Vault: Delivering Secrets with Kubernetes
Пример передачи учетных данных к базе данных из Vault в Kubernetes pod с помощью Vault Agent Side-car Injector. Демо-код.
https://medium.com/hashicorp-engineering/hashicorp-vault-delivering-secrets-with-kubernetes-1b358c03b2a3
#vault #k8s #ops
Пример передачи учетных данных к базе данных из Vault в Kubernetes pod с помощью Vault Agent Side-car Injector. Демо-код.
https://medium.com/hashicorp-engineering/hashicorp-vault-delivering-secrets-with-kubernetes-1b358c03b2a3
#vault #k8s #ops
Securing K8s Ingress Traffic with HashiCorp Vault PKIaaS and JetStack Cert-Manager
Статья о том, как автоматизировать создание и управление жизненным циклом сертификатов TLS в Kubernetes с помощью HashiCorp Vault и его механизма PKI, а также JetStack cert-manager.
https://medium.com/hashicorp-engineering/securing-k8s-ingress-traffic-with-hashicorp-vault-pkiaas-and-jetstack-cert-manager-cb46195742ca
#k8s #vault #ops
Статья о том, как автоматизировать создание и управление жизненным циклом сертификатов TLS в Kubernetes с помощью HashiCorp Vault и его механизма PKI, а также JetStack cert-manager.
https://medium.com/hashicorp-engineering/securing-k8s-ingress-traffic-with-hashicorp-vault-pkiaas-and-jetstack-cert-manager-cb46195742ca
#k8s #vault #ops
How to setup Vault with Kubernetes
Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.
https://deepsource.io/blog/setup-vault-kubernetes/
#k8s #vault #ops
Управление секретами в кластере Kubernetes с помощью HashiCorp Vault и Consul.
https://deepsource.io/blog/setup-vault-kubernetes/
#k8s #vault #ops
When the Levee Breaks: Protecting Vault Against Advanced Adversaries and Internal Threats
Я редко пишу про Vault в силу того, что мне не приходится с ним работать, но тут я наткнулся на любопытную статью про то, что происходит под капотом HashiCorp Vault.
В основе работы лежит так называемый "криптобарьер" (Cryptographic Barrier), который включает следующее:
- "Распечатка" ключа (или разделение) с помощью схемы Шамира и сторонних HSM или облачных KMS.
- Использование Go-реализации алгоритма AES-256 GCM
- Платные фичи Seal Wrap для дополнительного уровня шифрования с помощью внешнего криптомодуля и Entropy Augmentation для генерации аппаратных случайных чисел и увеличения энтропии
Кроме криптографии к механизмам защиты Vault относятся:
- Контроль доступа через RBAC, ABAC
- Возможность аудита
- Использование кредов с коротким сроком службы
- Использование подхода Zero Trust, включая TLS и AuthN / AuthZ
Ну, и не забыли сказать про различные внутренние проверки и практики безопасности разработки внутри HashiCorp. Также, у них есть отдельная статья про подходы в моделировании угроз, чтобы строить подобные эшелоны защиты своего решения. А еще они рассказали про кейсы попытки раскрытия секретов волта.
Кстати, если Vault для вас также далек, то есть замечательная страница, где будут первые шаги, лабы, описание интеграций с тем же k8s.
#vault #ops
Я редко пишу про Vault в силу того, что мне не приходится с ним работать, но тут я наткнулся на любопытную статью про то, что происходит под капотом HashiCorp Vault.
В основе работы лежит так называемый "криптобарьер" (Cryptographic Barrier), который включает следующее:
- "Распечатка" ключа (или разделение) с помощью схемы Шамира и сторонних HSM или облачных KMS.
- Использование Go-реализации алгоритма AES-256 GCM
- Платные фичи Seal Wrap для дополнительного уровня шифрования с помощью внешнего криптомодуля и Entropy Augmentation для генерации аппаратных случайных чисел и увеличения энтропии
Кроме криптографии к механизмам защиты Vault относятся:
- Контроль доступа через RBAC, ABAC
- Возможность аудита
- Использование кредов с коротким сроком службы
- Использование подхода Zero Trust, включая TLS и AuthN / AuthZ
Ну, и не забыли сказать про различные внутренние проверки и практики безопасности разработки внутри HashiCorp. Также, у них есть отдельная статья про подходы в моделировании угроз, чтобы строить подобные эшелоны защиты своего решения. А еще они рассказали про кейсы попытки раскрытия секретов волта.
Кстати, если Vault для вас также далек, то есть замечательная страница, где будут первые шаги, лабы, описание интеграций с тем же k8s.
#vault #ops
HashiCorp
When the Levee Breaks: Protecting Vault Against Advanced Adversaries and Internal Threats
The cryptography and key management protecting HashiCorp Vault secrets is designed to stand up to concerted attacks from well-resourced, skilled adversaries. Here's how it works.
Using Jenkins, Vault, Terraform, Ansible, and Consul to Deliver an End-to-End CI/CD Pipeline
Серия статей и видео, посвященных выстраиванию инфраструктуры эффективного деплоймента, покрывая концепции IaC, CI/CD, управления секретами, динамических секретов, проблемы концепции secret zero, service mesh и так далее.
Тулстек:
- HashiCorp Packer
- HashiCorp Terraform
- HashiCorp Vault
- HashiCorp Consul
- Jenkins
- Ansible
- Microsoft Azure
Да, здесь нет статики, динамики и различных проверок образов, но практика показывает, что те, кто идут в DevSecOps, далеко не всегда люди из DevOps. Чаще всего это специалисты со стороны ИБ, которым еще предстоит разобраться во всем многообразии инструментов.
#ops #dev #vault
Серия статей и видео, посвященных выстраиванию инфраструктуры эффективного деплоймента, покрывая концепции IaC, CI/CD, управления секретами, динамических секретов, проблемы концепции secret zero, service mesh и так далее.
Тулстек:
- HashiCorp Packer
- HashiCorp Terraform
- HashiCorp Vault
- HashiCorp Consul
- Jenkins
- Ansible
- Microsoft Azure
Да, здесь нет статики, динамики и различных проверок образов, но практика показывает, что те, кто идут в DevSecOps, далеко не всегда люди из DevOps. Чаще всего это специалисты со стороны ИБ, которым еще предстоит разобраться во всем многообразии инструментов.
#ops #dev #vault
Managing SSH Access at Scale with HashiCorp Vault
Выходим из затяжной паузы по постам и начинаем неделю с материала HashiCorp Vault об управлении SSH-ключами. Подобная интеграция может быть нужна по нескольким причинам. Во-первых, закрытые ключи пользователей хостов нередко становятся скомпрометированными по той или ной причине. Во-вторых, управление закрытыми ключами зачастую становится довольно сложной задачей, как и масштабирование данного процесса. Как итог процесс сопровождается отсутствием инвентаризации, что ведет к хаосу с точки зрения управления доступами.
В результате интеграции Vault предоставляет механизм управления ключами совместно с политиками (порядок того, кто куда имеет доступ) и аудитом. Теперь вместо долгосрочных ключей используются кратковременные сертификаты с помощью SSH CA хранилища, которые можно создать в несколько экземпляров для различных сред (dev, stage, prod, infra).
Managing SSH Access at Scale with HashiCorp Vault
#vault #ops
Выходим из затяжной паузы по постам и начинаем неделю с материала HashiCorp Vault об управлении SSH-ключами. Подобная интеграция может быть нужна по нескольким причинам. Во-первых, закрытые ключи пользователей хостов нередко становятся скомпрометированными по той или ной причине. Во-вторых, управление закрытыми ключами зачастую становится довольно сложной задачей, как и масштабирование данного процесса. Как итог процесс сопровождается отсутствием инвентаризации, что ведет к хаосу с точки зрения управления доступами.
В результате интеграции Vault предоставляет механизм управления ключами совместно с политиками (порядок того, кто куда имеет доступ) и аудитом. Теперь вместо долгосрочных ключей используются кратковременные сертификаты с помощью SSH CA хранилища, которые можно создать в несколько экземпляров для различных сред (dev, stage, prod, infra).
Managing SSH Access at Scale with HashiCorp Vault
#vault #ops