Mais conteúdo relacionado
Terraform_Vault紹介F5-NGINX_Community-20200805
- 1. F5 / NGINX community
DevSecOpsに貢献するTerraform+Vaultの紹介
伊藤仁智
HashiCorp, Sr. Solution Engineer
Copyright © 2020 HashiCorp
- 3. Copyright © 2018 HashiCorp
Company overview
3
ミッション
キー製品
設立
2012 by Mitchell Hashimoto and Armon Dadgar
(HashiCorp Japanは2018年9月発足)
Unlocking Cloud Operating Model.
CEO Dave MacJannet
- 5. © 2018 HashiCorpTERRAFORM PRINCIPLE 5
Terraform:
Infrastructure as Code
● インフラの「望むべき姿」をコード化
● Terraformが「望むべき姿」を構築
● 200を超えるProvider
● 「誰」が「いつ」実行しようと「望むべき姿」が構築される
● ヒューマンエラーを防ぐ
● Policy as Codeでコンプライアンスやガバナンスを強化
● GitOpsでコードを中心にチームコラボレーション
- 16. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR
PKIAPI
ApplicationもインフラもSecretが必要
これらのSecretを
● どこで管理しますか?
● どうやってアクセスさせますか?
● 暗号化していますか?
● 漏れたときどうしますか?
- 17. Copyright © 2018 HashiCorp
じゃあどうするか?
17
1. Secretの中央管理(Centralization)
2. 暗号化(Encryption)
3. 認証(Authentication)
4. 認可(Authorization)
5. 鍵交換(Rotation)
- 18. Copyright © 2018 HashiCorp
じゃあどうするか?
18
1. Secretの中央管理(Centralization)
2. 暗号化(Encryption)
3. 認証(Authentication)
4. 認可(Authorization)
5. 鍵交換(Rotation)
これ全部Vaultで出来ます
- 19. Copyright © 2018 HashiCorp 19
信頼できるアイデンティティに対して、安全にシークレットを提供する
認証
アイデンティティによるアクセス
シークレットエンジン
ポリシーに基づいたシークレット管理
クライアント
- 20. Copyright © 2018 HashiCorp 20
信頼できる認証基盤との連携
信頼できる認証基盤で認証
Authentication
認証
アイデンティティによるアクセス
シークレットエンジン
ポリシーに基づいたシークレット管理
クライアント
- 21. Copyright © 2018 HashiCorp 21
Tokenの取得
認証
アイデンティティによるアクセス
シークレットエンジン
ポリシーに基づいたシークレット管理
クライアント
Token ポリシー
• シークレットエンジンへのアクセス
• APIエンドポイントへのアクセス
アプリやシステムへのアクセスを認可
Authorization
信頼できる認証基盤で認証
Authentication
- 22. Copyright © 2018 HashiCorp 22
シークレットのリクエスト
認証
アイデンティティによるアクセス
シークレットエンジン
ポリシーに基づいたシークレット管理
クライアント
Token
アプリやシステムへのアクセスを認可
Authorization
ポリシー
• シークレットエンジンへのアクセス
• APIエンドポイントへのアクセス
信頼できる認証基盤で認証
Authentication
- 23. Copyright © 2018 HashiCorp 23
シークレットの取得
認証
アイデンティティによるアクセス
シークレットエンジン
ポリシーに基づいたシークレット管理
クライアント
Token
アプリやシステムへのアクセスを認可
Authorization
サービスの提供
▪ 静的シークレット
▪ 動的シークレット
▪ 証明書
▪ 暗号化サービス
シークレット
ポリシー
• シークレットエンジンへのアクセス
• APIエンドポイントへのアクセス
信頼できる認証基盤で認証
Authentication
- 24. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR
PKIAPI
SecurityチームによるSecretの中央管理
認証
認可
SECURITY OPS
- 25. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR
PKIAPI
まとめ
SECURITY OPS
プロビジョニングのワークフローを統一
シークレット管理のワークフローを統一
- 26. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR
PKIAPI
まとめ
SECURITY OPS
プロビジョニングのワークフローを統一
シークレット管理のワークフローを統一
DevSecOpsの成功