Terraform_Vault紹介F5-NGINX_Community-20200805

F5 / NGINX community
DevSecOpsに貢献するTerraform+Vaultの紹介
伊藤仁智
HashiCorp, Sr. Solution Engineer
Copyright © 2020 HashiCorp

伊藤仁智（Masa Ito）
Sr. Solutions Engineer at HashiCorp
masa@hashicorp.com

Company overview
3
ミッション
キー製品
設立
2012 by Mitchell Hashimoto and Armon Dadgar
（HashiCorp Japanは2018年9月発足）
Unlocking Cloud Operating Model.
CEO Dave MacJannet

ハイブリッドなインフラへのシフト
Traditional Datacenter
“Static”
Modern Datacenter
“Dynamic”
Dedicated
Infrastructure
Private
Cloud
専用マシン　　　　　　　→ オンデマンド
AWS Azure GCP ...+ + +

© 2018 HashiCorpTERRAFORM PRINCIPLE 5
Terraform:
Infrastructure as Code
● インフラの「望むべき姿」をコード化
● Terraformが「望むべき姿」を構築
● ２００を超えるProvider
● 「誰」が「いつ」実行しようと「望むべき姿」が構築される
● ヒューマンエラーを防ぐ
● Policy as Codeでコンプライアンスやガバナンスを強化
● GitOpsでコードを中心にチームコラボレーション

プロビジョニングのワークフローを統一

Application Deliveryのライフサイクル
新しいアプリケーショ
ンを開発
APP DEVELOPER
チケットベースでサー
バー申請
SERVER ADMIN
アプリケーションへの
FQDNを作成
NETWORK ADMIN
IPアドレスのアサイン
アプリケーションを
ロードバランサーへ登
録
ポートの設定
ヘルスチェック
運用&監視
OPERATOR

Application Deliveryのライフサイクル
ンを開発
APP DEVELOPER
チケットベースでサー
バー申請
SERVER ADMIN
アプリケーションへの
FQDNを作成
NETWORK ADMIN
IPアドレスのアサイン
アプリケーションを
ロードバランサーへ登
録
ポートの設定
ヘルスチェック
運用&監視
OPERATOR
とある会社によると
22週・・・

新しいApplication Delivery
ンを開発
APP DEVELOPER
サーバーやネットワー
クの構築は Terraform
でプロビジョニング
SERVER ADMIN NETWORK ADMIN
Terraformコードその
ものがリファレンス
ロードバランサーも
Terraformで設定
OPERATOR
コード化しチーム間で共有

新しいApplication Delivery
ンを開発
APP DEVELOPER
サーバーやネットワー
クの構築は Terraform
でプロビジョニング
SERVER ADMIN NETWORK ADMIN
Terraformコードその
ものがリファレンス
ロードバランサーも
Terraformで設定
OPERATOR
自動化によりスケーラビリティを大幅に向上
Provisioning

クラウドセキュリティ
“Static”
Modern Datacenter
“Dynamic”
Dedicated
Infrastructure
Private
Cloud

クラウドセキュリティ
“Static”
Modern Datacenter
“Dynamic”
Dedicated
Infrastructure
Private
Cloud
High Trust IP-based　　　　→ Low Trust Identity-based

APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR
PKIAPI
IdentityやRoleによって様々なシステムと連携

PKIAPI
ApplicationもインフラもSecretが必要

PKIAPI
ApplicationもインフラもSecretが必要
これらのSecretを
● どこで管理しますか？
● どうやってアクセスさせますか？
● 暗号化していますか？
● 漏れたときどうしますか？

じゃあどうするか？
17
1. Secretの中央管理（Centralization)
2. 暗号化（Encryption）
3. 認証（Authentication)
4. 認可（Authorization)
5. 鍵交換（Rotation）

じゃあどうするか？
18
1. Secretの中央管理（Centralization)
2. 暗号化（Encryption）
3. 認証（Authentication)
4. 認可（Authorization)
5. 鍵交換（Rotation）
これ全部Vaultで出来ます

信頼できる認証基盤との連携
信頼できる認証基盤で認証
Authentication
認証
クライアント

Tokenの取得
認証
クライアント
Token ポリシー
• シークレットエンジンへのアクセス
• APIエンドポイントへのアクセス
アプリやシステムへのアクセスを認可
Authorization
Authentication

シークレットのリクエスト
認証
クライアント
Token
Authorization
ポリシー
Authentication

シークレットの取得
認証
クライアント
Token
Authorization
サービスの提供
▪ 静的シークレット
▪ 動的シークレット
▪ 証明書
▪ 暗号化サービス
シークレット
ポリシー
Authentication

PKIAPI
SecurityチームによるSecretの中央管理
認証
認可
SECURITY OPS

PKIAPI
まとめ
SECURITY OPS
シークレット管理のワークフローを統一

PKIAPI
まとめ
SECURITY OPS
シークレット管理のワークフローを統一
DevSecOpsの成功

ありがとうございました。
masa@hashicorp.com
sales_japan@hashicorp.com
learn.hashicorp.com
hashicorp.com/events
27

Terraform_Vault紹介F5-NGINX_Community-20200805

Recomendados

Recomendados

Mais conteúdo relacionado

Último

Último (20)

Destaque

Destaque (20)

Terraform_Vault紹介F5-NGINX_Community-20200805