SlideShare uma empresa Scribd logo

Hashicorp Webinar - Vault Cloud Security - Portuguese

Transferir como PPTX, PDF
Stenio Ferreira
Stenio Ferreira

O documento discute os desafios de segurança na nuvem durante a transformação digital e apresenta demos do Vault para autenticação e gerenciamento de segredos na nuvem. A agenda inclui transformação digital, desafios de segurança na nuvem, autenticação segura na nuvem com Vault, acesso seguro aos serviços na nuvem com segredos dinâmicos do Vault e próximos passos.

Internet
1 de 21
Copyright © 2019 HashiCorp Segurança na Nuvem com Vault
© 2019 HashiCorp 2 Background • Senior Solutions Engineer • Na Hashicorp ha um ano e meio • Background de desenvolvimento/ consultor/ vendas • Brasileiro • Tocava em banda de heavy metal @stenio123 stenio@hashicorp.com Copyright © 2019 HashiCorp ∕ 2
© 2019 HashiCorp 3 Agenda • Transformação digital • Desafios de segurança indo para a nuvem • Demo 1: autenticação segura na nuvem • Demo 2: acesso seguro aos serviços na nuvem • Próximos Passos • Perguntas e Respostas Copyright © 2019 HashiCorp ∕ 2
Copyright © 2018 HashiCorp ∕ Transformação Digital 4
Copyright © 2019 HashiCorp ∕ Transformação Digital Copyright © 2019 HashiCorp ∕ 5 Traditional Datacenter “Static” Dedicated Infrastructure Modern Datacenter “Dynamic” AWS Azure GCP+ + +Private Cloud + “Ticket-based” “Self-service”
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 6 Traditional Datacenter “Static” Dedicated Infrastructure Modern Datacenter “Dynamic” AWS Azure GCP+ + +Private Cloud + Why? • Capex to Opex • Scale, repeatability, maintainability • Access to new technologies Transformação Digital
Copyright © 2019 HashiCorp ∕ Desafios de Alto Nivel Durante Transformação Digital Copyright © 2019 HashiCorp ∕ 7
Copyright © 2018 HashiCorp ∕ 8 Uma Abordagem Integrada com a Hashicorp Suite C++ Provision Operations Secure Security Run Development Connect Networking Private Cloud AWS Azure GCP
Copyright © 2018 HashiCorp ∕ Segurança Durante a Transformação Digital 9
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 10 Desafios de Segurança Durante a Transfomação Digital • Gerenciamento de Segredos Passwords, API Keys, PKI certificates, encryption keys • Autenticação Identidade da solicitação - "Sou quem afirmo ser, esta é minha credencial" • Autorização Permissões associadas a uma identidade - "O usuário X pode ler o segredo Y" • Criptografia em repouso Informações confidenciais são armazenadas em texto criptografado • Criptografia em trânsito Informações confidenciais trocadas entre servidores em texto criptografado • Scaling entre multiplos datacenters, DR, auditoria, fluxos de trabalho de aprovação, compliance e outros
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 11 Desafios de Autenticação na Nuvem Portanto, Como permito que um aplicativo em execução na nuvem tenha acesso a um segredo, sem hardcoding? Como permito que um cliente (humano / aplicativo) executando em qualquer lugar, acesse serviços em nuvem, sem API Keys hardcoded? Abordagem padrão: Chaves de API estática / service accounts Limitações: • Eventualmente hardcoded - maior risco de ser comprometido • Dificil gerenciar ciclo de vida - maior risco de exposição • Difícil de auditar - pode ser compartilhado pelo usuário original com outras pessoas
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 12 Como permito que um aplicativo em execução na nuvem tenha acesso a um segredo, sem hardcoding? -> Autenticação Vault baseado em plataforma Como permito que um cliente (humano / aplicativo) executando em qualquer lugar, acesse serviços em nuvem, sem API Keys hardcoded? -> Segredos Dinâmicos com Vault Authentication Challenges in the Cloud
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 13 Autenticação Vault Baseado em Plataforma Overview • Em vez de codificar credenciais em um aplicativo, use a identidade fornecida pela plataforma • Exemplo: a AWS usa o perfil IAM associado ao EC2 ou o Lambda, Azure usa a conta de serviço • Essas plataformas permitem chamadas para o API endpoint local para recuperar o token de identidade • A lógica pode ser codificada manualmente no aplicativo ou pode ser externalizada usando agentes – Vault Agent, Consul Template, Cron job • Suporta: Cloud, Kubernetes, PCF, AppRole Passos 1. Admin cria credenciais e configura o Vault 2. O aplicativo recupera a identidade da plataforma 3. O aplicativo faz uma solicitação de login no Vault, enviando identidade 4. Vault valida a identidade com a plataforma e retorna o token de acesso ao aplicativo
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 14 Segredos Dinâmicos com Vault Overview • Em vez de ter uma chave de API ou service account de longa duração, o Vault pode gerar dinamicamente, conforme necessário • Essas chaves serão efêmeras, com um TTL associado • Vault responsável por revogar a chave quando o TTL atingiu limite • Um administrador do Vault também pode revogar chaves ou grupos de chaves (por prefixo) sem precisar acessar as plataformas • Opções específicas da plataforma: segredos gerados podem ser unicos, service account existentes podem ser utilizadas, suporta rotação de senhas (Active Directory) • Segredos dinâmicos para: cloud, bancos de dados, plugins Passos 1. Admin cria credenciais e configura o Vault 2. Cliente autenticado com Vault faz requisição de segredo 3. Vault cria segredo e retorna ao cliente 4. Quando tempo limite atingido, Vault revoga o segredo
Copyright © 2018 HashiCorp ∕ Demos 15
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 16 Demo 1 - Autenticação Contexto • Um aplicativo em execução na AWS • Precisa acessar um banco de dados, portanto, precisa de credenciais de banco de dados • Em vez de hardcoding essas credenciais, as armazenamos no Vault • Mas como o aplicativo pode se autenticar no Vault? A fazer hardcoding das credenciais do Vault anula o objetivo • Podemos usar a autenticação da AWS do Vault para abstrair as credenciais • Depois que o aplicativo se autentica no Vault, ele pode solicitar as credenciais de banco de dados desejadas TL;DR: aplicativo precisa de um segredo. Obtém do Vault sem credenciais explícitas
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 17 Demo 2 – Segredos Dinâmicos Contexto • Um desenvolvedor precisa acessar um bucket S3 do AWS • Para acessar esse recurso da AWS, preciso das chaves da API da AWS • Em vez de ter chaves de API estáticas de longa duração, o Vault gerará dinamicamente essas chaves quando forem necessárias • Como humano, posso me autenticar no Vault com credenciais tradicionais ou, como aplicativo, posso usar um fluxo de trabalho como apresentado na demonstração 1 • Depois de me autenticar no Vault, posso solicitar as chaves da API • Um administrador do Vault pode definir o tempo de vida dessas chaves, permissões e quais identidades têm acesso para solicitá-las • Cada chave gerada será única TL;DR: cliente precisa de chaves na nuvem. O Vault gera chaves e as revoga após TTL
Copyright © 2018 HashiCorp ∕ Próximos Passos 18
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 19 Aprimorando os Demos Resiliência • Utilizar Vault como um High Availability cluster • Não fazer hardcoding de segredos Vault no Terrafom (usar Replicação e DR) • Utilizar immutable infrastructure (imagens de servidores) Conectividade • Utilizar TLS nas conexōes com Vault • Colocar Vault em subnet privada • Nao permitir ssh direto nas instancias, utilizar bastion hosts • Utilize Service Mesh para proteger comunicação entre bastion host e servidor (Consul) Permissōes • Utilize usuarios Linux com permissōes restritas • Utilize usuários Vault com permissōes restritas • Utilize usuários Cloud com permissōes restritas Gerenciamento • Utilizar Vault Agent para gerenciar logica de Cloud Auth • Colocar Vault como parte de um service discovery cluster (Consul)
Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 20 Recursos Vault Agent Tutorial: https://learn.hashicorp.com/vault/developer/vault-agent-aws Discussão sobre Immutable Infrastructure: https://www.hashicorp.com/resources/what-is-mutable-vs-immutable-infrastructure Discussão sobre Segredos Dinâmicos https://www.hashicorp.com/blog/why-we-need-dynamic-secrets Como Adobe está usando Vault para gerenciar segredos através de clouds: https://youtu.be/THlpkBioAWQ Demos https://github.com/stenio123/vault_cloud_security
∕Copyright © 2019 HashiCorp 21 www.hashicorp.com hello@hashicorp.com Thank you

Recomendados

Lgpd webinar hashitalks brasil 2020
Lgpd webinar hashitalks brasil 2020Lgpd webinar hashitalks brasil 2020
Lgpd webinar hashitalks brasil 2020Stenio Ferreira
 
Escalando do Zero aos seus Primeiros 10 Milhões de Usuários - ARC203 - Sao P...
Escalando do Zero aos seus Primeiros 10 Milhões de Usuários - ARC203 - Sao P...Escalando do Zero aos seus Primeiros 10 Milhões de Usuários - ARC203 - Sao P...
Escalando do Zero aos seus Primeiros 10 Milhões de Usuários - ARC203 - Sao P...Amazon Web Services
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoAlvaro Viebrantz
 
Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoAmazon Web Services LATAM
 
Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Amazon Web Services LATAM
 
O que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoO que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoAmazon Web Services LATAM
 
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Amazon Web Services LATAM
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 

Recomendados

Lgpd webinar hashitalks brasil 2020
Lgpd webinar hashitalks brasil 2020Lgpd webinar hashitalks brasil 2020
Lgpd webinar hashitalks brasil 2020Stenio Ferreira
 
Escalando do Zero aos seus Primeiros 10 Milhões de Usuários - ARC203 - Sao P...
Escalando do Zero aos seus Primeiros 10 Milhões de Usuários - ARC203 - Sao P...Escalando do Zero aos seus Primeiros 10 Milhões de Usuários - ARC203 - Sao P...
Escalando do Zero aos seus Primeiros 10 Milhões de Usuários - ARC203 - Sao P...Amazon Web Services
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoAlvaro Viebrantz
 
Ransomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoRansomware: Estratégias de Mitigação
Ransomware: Estratégias de MitigaçãoAmazon Web Services LATAM
 
Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Por que AWS é mais segura que meu datacenter?
Por que AWS é mais segura que meu datacenter?Amazon Web Services LATAM
 
O que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoO que não vai mudar em 10 anos? A segurança como fator de inovação
O que não vai mudar em 10 anos? A segurança como fator de inovaçãoAmazon Web Services LATAM
 
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...
Segurança - 10 regras que você deve saber antes de migrar sua infraestrutura ...Amazon Web Services LATAM
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...Amazon Web Services
 
Desenvolvimento de Aplicações em Container com AWS Fargate
Desenvolvimento de Aplicações em Container com AWS FargateDesenvolvimento de Aplicações em Container com AWS Fargate
Desenvolvimento de Aplicações em Container com AWS FargateAmazon Web Services LATAM
 
Segurança da Nuvem
Segurança da NuvemSegurança da Nuvem
Segurança da Nuvemarmsthon
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitAmazon Web Services
 
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...Amazon Web Services LATAM
 
Transformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoTransformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoDarlan Segalin
 
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...Amazon Web Services
 
Criando Aplicações Serverless - ARC302 - Sao Paulo Summit
Criando Aplicações Serverless - ARC302 - Sao Paulo SummitCriando Aplicações Serverless - ARC302 - Sao Paulo Summit
Criando Aplicações Serverless - ARC302 - Sao Paulo SummitAmazon Web Services
 
Práticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSPráticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSAmazon Web Services LATAM
 
AWS Masterclass UOL
AWS Masterclass UOLAWS Masterclass UOL
AWS Masterclass UOLAmazon Web Services LATAM
 
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo Summit
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo SummitConstruindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo Summit
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo SummitAmazon Web Services
 
Segurança na AWS
Segurança na AWSSegurança na AWS
Segurança na AWSAmazon Web Services LATAM
 
Inicie uma jornada segura para a nuvem
Inicie uma jornada segura para a nuvemInicie uma jornada segura para a nuvem
Inicie uma jornada segura para a nuvemAmazon Web Services LATAM
 
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo Summit
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo SummitSessão Avançada: Amazon Aurora - DAT302 - Sao Paulo Summit
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo SummitAmazon Web Services
 
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...Amazon Web Services
 
Construindo um Data Warehouse moderno com Amazon Redshift
Construindo um Data Warehouse moderno com Amazon RedshiftConstruindo um Data Warehouse moderno com Amazon Redshift
Construindo um Data Warehouse moderno com Amazon RedshiftAmazon Web Services LATAM
 
Levando Serverless para o Edge - ARC301 - Sao Paulo Summit
Levando Serverless para o Edge - ARC301 - Sao Paulo SummitLevando Serverless para o Edge - ARC301 - Sao Paulo Summit
Levando Serverless para o Edge - ARC301 - Sao Paulo SummitAmazon Web Services
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
Mule pe salesforce mule security
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule securityJeison Barros
 
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...Kemp
 
TDC Floripa 2016 - Decolando seus micro-serviços na Spring Cloud
TDC Floripa 2016 - Decolando seus micro-serviços na Spring CloudTDC Floripa 2016 - Decolando seus micro-serviços na Spring Cloud
TDC Floripa 2016 - Decolando seus micro-serviços na Spring CloudRodrigo Cândido da Silva
 

Mais conteúdo relacionado

Mais procurados

Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...Amazon Web Services
 
Desenvolvimento de Aplicações em Container com AWS Fargate
Desenvolvimento de Aplicações em Container com AWS FargateDesenvolvimento de Aplicações em Container com AWS Fargate
Desenvolvimento de Aplicações em Container com AWS FargateAmazon Web Services LATAM
 
Segurança da Nuvem
Segurança da NuvemSegurança da Nuvem
Segurança da Nuvemarmsthon
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitAmazon Web Services
 
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...Amazon Web Services LATAM
 
Transformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoTransformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoDarlan Segalin
 
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...Amazon Web Services
 
Criando Aplicações Serverless - ARC302 - Sao Paulo Summit
Criando Aplicações Serverless - ARC302 - Sao Paulo SummitCriando Aplicações Serverless - ARC302 - Sao Paulo Summit
Criando Aplicações Serverless - ARC302 - Sao Paulo SummitAmazon Web Services
 
Práticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSPráticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSAmazon Web Services LATAM
 
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo Summit
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo SummitConstruindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo Summit
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo SummitAmazon Web Services
 
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo Summit
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo SummitSessão Avançada: Amazon Aurora - DAT302 - Sao Paulo Summit
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo SummitAmazon Web Services
 
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...Amazon Web Services
 
Construindo um Data Warehouse moderno com Amazon Redshift
Construindo um Data Warehouse moderno com Amazon RedshiftConstruindo um Data Warehouse moderno com Amazon Redshift
Construindo um Data Warehouse moderno com Amazon RedshiftAmazon Web Services LATAM
 
Levando Serverless para o Edge - ARC301 - Sao Paulo Summit
Levando Serverless para o Edge - ARC301 - Sao Paulo SummitLevando Serverless para o Edge - ARC301 - Sao Paulo Summit
Levando Serverless para o Edge - ARC301 - Sao Paulo SummitAmazon Web Services
 

Mais procurados (18)

Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...
Sessão Avançada: Armazenamento Híbrido na Nuvem com AWS Storage Gateway - CM...
 
Desenvolvimento de Aplicações em Container com AWS Fargate
Desenvolvimento de Aplicações em Container com AWS FargateDesenvolvimento de Aplicações em Container com AWS Fargate
Desenvolvimento de Aplicações em Container com AWS Fargate
 
Segurança da Nuvem
Segurança da NuvemSegurança da Nuvem
Segurança da Nuvem
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
 
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
AWS Storage Day - Novidades em Nuvem Híbrida, Edge Computing e Transferência ...
 
Transformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualizaçãoTransformando a ti com cloud computing e virtualização
Transformando a ti com cloud computing e virtualização
 
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...
Sessão Avançada: Otimizando Bancos de Dados Relacionais na AWS com Amazon RDS...
 
Criando Aplicações Serverless - ARC302 - Sao Paulo Summit
Criando Aplicações Serverless - ARC302 - Sao Paulo SummitCriando Aplicações Serverless - ARC302 - Sao Paulo Summit
Criando Aplicações Serverless - ARC302 - Sao Paulo Summit
 
Práticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWSPráticas para aumentar seu nível de segurança na Nuvem AWS
Práticas para aumentar seu nível de segurança na Nuvem AWS
 
AWS Masterclass UOL
AWS Masterclass UOLAWS Masterclass UOL
AWS Masterclass UOL
 
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo Summit
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo SummitConstruindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo Summit
Construindo Data Lakes e Analytics na AWS - BDA301 - Sao Paulo Summit
 
Segurança na AWS
Segurança na AWSSegurança na AWS
Segurança na AWS
 
Inicie uma jornada segura para a nuvem
Inicie uma jornada segura para a nuvemInicie uma jornada segura para a nuvem
Inicie uma jornada segura para a nuvem
 
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo Summit
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo SummitSessão Avançada: Amazon Aurora - DAT302 - Sao Paulo Summit
Sessão Avançada: Amazon Aurora - DAT302 - Sao Paulo Summit
 
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...
Aplicando uma Estratégia de Banco de Dados AWS Personalizada: Encontre o Banc...
 
Construindo um Data Warehouse moderno com Amazon Redshift
Construindo um Data Warehouse moderno com Amazon RedshiftConstruindo um Data Warehouse moderno com Amazon Redshift
Construindo um Data Warehouse moderno com Amazon Redshift
 
Levando Serverless para o Edge - ARC301 - Sao Paulo Summit
Levando Serverless para o Edge - ARC301 - Sao Paulo SummitLevando Serverless para o Edge - ARC301 - Sao Paulo Summit
Levando Serverless para o Edge - ARC301 - Sao Paulo Summit
 

Semelhante a Hashicorp Webinar - Vault Cloud Security - Portuguese

Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 
Mule pe salesforce mule security
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule securityJeison Barros
 
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...Kemp
 
TDC Floripa 2016 - Decolando seus micro-serviços na Spring Cloud
TDC Floripa 2016 - Decolando seus micro-serviços na Spring CloudTDC Floripa 2016 - Decolando seus micro-serviços na Spring Cloud
TDC Floripa 2016 - Decolando seus micro-serviços na Spring CloudRodrigo Cândido da Silva
 
Construindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaConstruindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaAmazon Web Services LATAM
 
Construindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaConstruindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaAmazon Web Services LATAM
 
Segurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasSegurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasBruno Luiz Pereira da Silva
 
Construindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaConstruindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaAmazon Web Services LATAM
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingDaniel Checchia
 
Visão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da CloudflareVisão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da CloudflareCloudflare
 
Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Fabio Vieira Mello
 
QCon SP 2016 - Construindo Microservices Auto-curáveis com Spring Cloud e Net...
QCon SP 2016 - Construindo Microservices Auto-curáveis com Spring Cloud e Net...QCon SP 2016 - Construindo Microservices Auto-curáveis com Spring Cloud e Net...
QCon SP 2016 - Construindo Microservices Auto-curáveis com Spring Cloud e Net...Rodrigo Cândido da Silva
 
2016/08/19 - Uma visão geral da AWS para desenvolvedores
2016/08/19 - Uma visão geral da AWS para desenvolvedores2016/08/19 - Uma visão geral da AWS para desenvolvedores
2016/08/19 - Uma visão geral da AWS para desenvolvedoresJardel Weyrich
 
Palestra de Cloud para Universidade de São Caetano do Sul - USCS
Palestra de Cloud para Universidade de São Caetano do Sul - USCSPalestra de Cloud para Universidade de São Caetano do Sul - USCS
Palestra de Cloud para Universidade de São Caetano do Sul - USCSThiago Viola
 
Implantando modelos Deep Learning em cluster Kubernetes com GPU Ativada
Implantando modelos Deep Learning em cluster Kubernetes com GPU AtivadaImplantando modelos Deep Learning em cluster Kubernetes com GPU Ativada
Implantando modelos Deep Learning em cluster Kubernetes com GPU AtivadaThaissa Bueno Sanches
 
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...Amazon Web Services
 
CI CD best practices for building modern applications - MAD301 - São Paulo AW...
CI CD best practices for building modern applications - MAD301 - São Paulo AW...CI CD best practices for building modern applications - MAD301 - São Paulo AW...
CI CD best practices for building modern applications - MAD301 - São Paulo AW...Amazon Web Services
 

Semelhante a Hashicorp Webinar - Vault Cloud Security - Portuguese (20)

Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvem
 
Mule pe salesforce mule security
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule security
 
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
Criando uma nuvem híbrida com Agilidade e Rapidez Utilizando Controladores de...
 
TDC Floripa 2016 - Decolando seus micro-serviços na Spring Cloud
TDC Floripa 2016 - Decolando seus micro-serviços na Spring CloudTDC Floripa 2016 - Decolando seus micro-serviços na Spring Cloud
TDC Floripa 2016 - Decolando seus micro-serviços na Spring Cloud
 
Construindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaConstruindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS Lambda
 
Construindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaConstruindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS Lambda
 
Segurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasSegurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheiras
 
Construindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS LambdaConstruindo APIs com Amazon API Gateway e AWS Lambda
Construindo APIs com Amazon API Gateway e AWS Lambda
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud Computing
 
Visão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da CloudflareVisão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da Cloudflare
 
Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!
 
QCon SP 2016 - Construindo Microservices Auto-curáveis com Spring Cloud e Net...
QCon SP 2016 - Construindo Microservices Auto-curáveis com Spring Cloud e Net...QCon SP 2016 - Construindo Microservices Auto-curáveis com Spring Cloud e Net...
QCon SP 2016 - Construindo Microservices Auto-curáveis com Spring Cloud e Net...
 
2016/08/19 - Uma visão geral da AWS para desenvolvedores
2016/08/19 - Uma visão geral da AWS para desenvolvedores2016/08/19 - Uma visão geral da AWS para desenvolvedores
2016/08/19 - Uma visão geral da AWS para desenvolvedores
 
Palestra de Cloud para Universidade de São Caetano do Sul - USCS
Palestra de Cloud para Universidade de São Caetano do Sul - USCSPalestra de Cloud para Universidade de São Caetano do Sul - USCS
Palestra de Cloud para Universidade de São Caetano do Sul - USCS
 
AWS
AWS AWS
AWS
 
Implantando modelos Deep Learning em cluster Kubernetes com GPU Ativada
Implantando modelos Deep Learning em cluster Kubernetes com GPU AtivadaImplantando modelos Deep Learning em cluster Kubernetes com GPU Ativada
Implantando modelos Deep Learning em cluster Kubernetes com GPU Ativada
 
De 0 a DevOps
De 0 a DevOpsDe 0 a DevOps
De 0 a DevOps
 
Segurança em Angular SPA
Segurança em Angular SPASegurança em Angular SPA
Segurança em Angular SPA
 
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
Secure your data lake- A Financial industry perspective - SVC203 - São Paulo ...
 
CI CD best practices for building modern applications - MAD301 - São Paulo AW...
CI CD best practices for building modern applications - MAD301 - São Paulo AW...CI CD best practices for building modern applications - MAD301 - São Paulo AW...
CI CD best practices for building modern applications - MAD301 - São Paulo AW...
 

Mais de Stenio Ferreira

HashiTalks 2020 Latin America Nomad
HashiTalks 2020 Latin America NomadHashiTalks 2020 Latin America Nomad
HashiTalks 2020 Latin America NomadStenio Ferreira
 
Vault Open Source vs Enterprise v2
Vault Open Source vs Enterprise v2Vault Open Source vs Enterprise v2
Vault Open Source vs Enterprise v2Stenio Ferreira
 
Hashicorp Webinar - Vault Cloud Security - Spanish
Hashicorp Webinar - Vault Cloud Security - SpanishHashicorp Webinar - Vault Cloud Security - Spanish
Hashicorp Webinar - Vault Cloud Security - SpanishStenio Ferreira
 
Hashicorp corporate pitch deck Spanish
Hashicorp corporate pitch deck SpanishHashicorp corporate pitch deck Spanish
Hashicorp corporate pitch deck SpanishStenio Ferreira
 
Vault Digital Transformation
Vault Digital TransformationVault Digital Transformation
Vault Digital TransformationStenio Ferreira
 
Demystifying Terraform 012
Demystifying Terraform 012Demystifying Terraform 012
Demystifying Terraform 012Stenio Ferreira
 
Hashicorp Corporate Pitch Deck Stenio_v2
Hashicorp Corporate Pitch Deck Stenio_v2 Hashicorp Corporate Pitch Deck Stenio_v2
Hashicorp Corporate Pitch Deck Stenio_v2 Stenio Ferreira
 
Hashicorp Terraform Open Source vs Enterprise
Hashicorp Terraform Open Source vs EnterpriseHashicorp Terraform Open Source vs Enterprise
Hashicorp Terraform Open Source vs EnterpriseStenio Ferreira
 
Hashicorp Vault Open Source vs Enterprise
Hashicorp Vault Open Source vs EnterpriseHashicorp Vault Open Source vs Enterprise
Hashicorp Vault Open Source vs EnterpriseStenio Ferreira
 
Hashicorp Corporate and Product Overview
Hashicorp Corporate and Product OverviewHashicorp Corporate and Product Overview
Hashicorp Corporate and Product OverviewStenio Ferreira
 
Hashicorp Chicago HUG - Secure and Automated Workflows in Azure with Vault an...
Hashicorp Chicago HUG - Secure and Automated Workflows in Azure with Vault an...Hashicorp Chicago HUG - Secure and Automated Workflows in Azure with Vault an...
Hashicorp Chicago HUG - Secure and Automated Workflows in Azure with Vault an...Stenio Ferreira
 
Secure and Convenient Workflows: Integrating HashiCorp Vault with Pivotal Clo...
Secure and Convenient Workflows: Integrating HashiCorp Vault with Pivotal Clo...Secure and Convenient Workflows: Integrating HashiCorp Vault with Pivotal Clo...
Secure and Convenient Workflows: Integrating HashiCorp Vault with Pivotal Clo...Stenio Ferreira
 
Chicago Hashicorp User Group - Terraform Public Module Registry
Chicago Hashicorp User Group - Terraform Public Module RegistryChicago Hashicorp User Group - Terraform Public Module Registry
Chicago Hashicorp User Group - Terraform Public Module RegistryStenio Ferreira
 
Slalom: Introduction to Containers and AWS ECS
Slalom: Introduction to Containers and AWS ECSSlalom: Introduction to Containers and AWS ECS
Slalom: Introduction to Containers and AWS ECSStenio Ferreira
 
Networking 101 AWS - VPCs, Subnets, NAT Gateways, etc
Networking 101 AWS - VPCs, Subnets, NAT Gateways, etcNetworking 101 AWS - VPCs, Subnets, NAT Gateways, etc
Networking 101 AWS - VPCs, Subnets, NAT Gateways, etcStenio Ferreira
 
Secret Management Architectures
Secret Management Architectures Secret Management Architectures
Secret Management Architectures Stenio Ferreira
 
Like Ruby on Rails for Node - the Sails js framework
Like Ruby on Rails for Node - the Sails js frameworkLike Ruby on Rails for Node - the Sails js framework
Like Ruby on Rails for Node - the Sails js frameworkStenio Ferreira
 
Sales and Marketing in Small Company Environment
Sales and Marketing in Small Company EnvironmentSales and Marketing in Small Company Environment
Sales and Marketing in Small Company EnvironmentStenio Ferreira
 

Mais de Stenio Ferreira (18)

HashiTalks 2020 Latin America Nomad
HashiTalks 2020 Latin America NomadHashiTalks 2020 Latin America Nomad
HashiTalks 2020 Latin America Nomad
 
Vault Open Source vs Enterprise v2
Vault Open Source vs Enterprise v2Vault Open Source vs Enterprise v2
Vault Open Source vs Enterprise v2
 
Hashicorp Webinar - Vault Cloud Security - Spanish
Hashicorp Webinar - Vault Cloud Security - SpanishHashicorp Webinar - Vault Cloud Security - Spanish
Hashicorp Webinar - Vault Cloud Security - Spanish
 
Hashicorp corporate pitch deck Spanish
Hashicorp corporate pitch deck SpanishHashicorp corporate pitch deck Spanish
Hashicorp corporate pitch deck Spanish
 
Vault Digital Transformation
Vault Digital TransformationVault Digital Transformation
Vault Digital Transformation
 
Demystifying Terraform 012
Demystifying Terraform 012Demystifying Terraform 012
Demystifying Terraform 012
 
Hashicorp Corporate Pitch Deck Stenio_v2
Hashicorp Corporate Pitch Deck Stenio_v2 Hashicorp Corporate Pitch Deck Stenio_v2
Hashicorp Corporate Pitch Deck Stenio_v2
 
Hashicorp Terraform Open Source vs Enterprise
Hashicorp Terraform Open Source vs EnterpriseHashicorp Terraform Open Source vs Enterprise
Hashicorp Terraform Open Source vs Enterprise
 
Hashicorp Vault Open Source vs Enterprise
Hashicorp Vault Open Source vs EnterpriseHashicorp Vault Open Source vs Enterprise
Hashicorp Vault Open Source vs Enterprise
 
Hashicorp Corporate and Product Overview
Hashicorp Corporate and Product OverviewHashicorp Corporate and Product Overview
Hashicorp Corporate and Product Overview
 
Hashicorp Chicago HUG - Secure and Automated Workflows in Azure with Vault an...
Hashicorp Chicago HUG - Secure and Automated Workflows in Azure with Vault an...Hashicorp Chicago HUG - Secure and Automated Workflows in Azure with Vault an...
Hashicorp Chicago HUG - Secure and Automated Workflows in Azure with Vault an...
 
Secure and Convenient Workflows: Integrating HashiCorp Vault with Pivotal Clo...
Secure and Convenient Workflows: Integrating HashiCorp Vault with Pivotal Clo...Secure and Convenient Workflows: Integrating HashiCorp Vault with Pivotal Clo...
Secure and Convenient Workflows: Integrating HashiCorp Vault with Pivotal Clo...
 
Chicago Hashicorp User Group - Terraform Public Module Registry
Chicago Hashicorp User Group - Terraform Public Module RegistryChicago Hashicorp User Group - Terraform Public Module Registry
Chicago Hashicorp User Group - Terraform Public Module Registry
 
Slalom: Introduction to Containers and AWS ECS
Slalom: Introduction to Containers and AWS ECSSlalom: Introduction to Containers and AWS ECS
Slalom: Introduction to Containers and AWS ECS
 
Networking 101 AWS - VPCs, Subnets, NAT Gateways, etc
Networking 101 AWS - VPCs, Subnets, NAT Gateways, etcNetworking 101 AWS - VPCs, Subnets, NAT Gateways, etc
Networking 101 AWS - VPCs, Subnets, NAT Gateways, etc
 
Secret Management Architectures
Secret Management Architectures Secret Management Architectures
Secret Management Architectures
 
Like Ruby on Rails for Node - the Sails js framework
Like Ruby on Rails for Node - the Sails js frameworkLike Ruby on Rails for Node - the Sails js framework
Like Ruby on Rails for Node - the Sails js framework
 
Sales and Marketing in Small Company Environment
Sales and Marketing in Small Company EnvironmentSales and Marketing in Small Company Environment
Sales and Marketing in Small Company Environment
 

Hashicorp Webinar - Vault Cloud Security - Portuguese

  • 1. Copyright © 2019 HashiCorp Segurança na Nuvem com Vault
  • 2. © 2019 HashiCorp 2 Background • Senior Solutions Engineer • Na Hashicorp ha um ano e meio • Background de desenvolvimento/ consultor/ vendas • Brasileiro • Tocava em banda de heavy metal @stenio123 stenio@hashicorp.com Copyright © 2019 HashiCorp ∕ 2
  • 3. © 2019 HashiCorp 3 Agenda • Transformação digital • Desafios de segurança indo para a nuvem • Demo 1: autenticação segura na nuvem • Demo 2: acesso seguro aos serviços na nuvem • Próximos Passos • Perguntas e Respostas Copyright © 2019 HashiCorp ∕ 2
  • 4. Copyright © 2018 HashiCorp ∕ Transformação Digital 4
  • 5. Copyright © 2019 HashiCorp ∕ Transformação Digital Copyright © 2019 HashiCorp ∕ 5 Traditional Datacenter “Static” Dedicated Infrastructure Modern Datacenter “Dynamic” AWS Azure GCP+ + +Private Cloud + “Ticket-based” “Self-service”
  • 6. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 6 Traditional Datacenter “Static” Dedicated Infrastructure Modern Datacenter “Dynamic” AWS Azure GCP+ + +Private Cloud + Why? • Capex to Opex • Scale, repeatability, maintainability • Access to new technologies Transformação Digital
  • 7. Copyright © 2019 HashiCorp ∕ Desafios de Alto Nivel Durante Transformação Digital Copyright © 2019 HashiCorp ∕ 7
  • 8. Copyright © 2018 HashiCorp ∕ 8 Uma Abordagem Integrada com a Hashicorp Suite C++ Provision Operations Secure Security Run Development Connect Networking Private Cloud AWS Azure GCP
  • 9. Copyright © 2018 HashiCorp ∕ Segurança Durante a Transformação Digital 9
  • 10. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 10 Desafios de Segurança Durante a Transfomação Digital • Gerenciamento de Segredos Passwords, API Keys, PKI certificates, encryption keys • Autenticação Identidade da solicitação - "Sou quem afirmo ser, esta é minha credencial" • Autorização Permissões associadas a uma identidade - "O usuário X pode ler o segredo Y" • Criptografia em repouso Informações confidenciais são armazenadas em texto criptografado • Criptografia em trânsito Informações confidenciais trocadas entre servidores em texto criptografado • Scaling entre multiplos datacenters, DR, auditoria, fluxos de trabalho de aprovação, compliance e outros
  • 11. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 11 Desafios de Autenticação na Nuvem Portanto, Como permito que um aplicativo em execução na nuvem tenha acesso a um segredo, sem hardcoding? Como permito que um cliente (humano / aplicativo) executando em qualquer lugar, acesse serviços em nuvem, sem API Keys hardcoded? Abordagem padrão: Chaves de API estática / service accounts Limitações: • Eventualmente hardcoded - maior risco de ser comprometido • Dificil gerenciar ciclo de vida - maior risco de exposição • Difícil de auditar - pode ser compartilhado pelo usuário original com outras pessoas
  • 12. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 12 Como permito que um aplicativo em execução na nuvem tenha acesso a um segredo, sem hardcoding? -> Autenticação Vault baseado em plataforma Como permito que um cliente (humano / aplicativo) executando em qualquer lugar, acesse serviços em nuvem, sem API Keys hardcoded? -> Segredos Dinâmicos com Vault Authentication Challenges in the Cloud
  • 13. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 13 Autenticação Vault Baseado em Plataforma Overview • Em vez de codificar credenciais em um aplicativo, use a identidade fornecida pela plataforma • Exemplo: a AWS usa o perfil IAM associado ao EC2 ou o Lambda, Azure usa a conta de serviço • Essas plataformas permitem chamadas para o API endpoint local para recuperar o token de identidade • A lógica pode ser codificada manualmente no aplicativo ou pode ser externalizada usando agentes – Vault Agent, Consul Template, Cron job • Suporta: Cloud, Kubernetes, PCF, AppRole Passos 1. Admin cria credenciais e configura o Vault 2. O aplicativo recupera a identidade da plataforma 3. O aplicativo faz uma solicitação de login no Vault, enviando identidade 4. Vault valida a identidade com a plataforma e retorna o token de acesso ao aplicativo
  • 14. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 14 Segredos Dinâmicos com Vault Overview • Em vez de ter uma chave de API ou service account de longa duração, o Vault pode gerar dinamicamente, conforme necessário • Essas chaves serão efêmeras, com um TTL associado • Vault responsável por revogar a chave quando o TTL atingiu limite • Um administrador do Vault também pode revogar chaves ou grupos de chaves (por prefixo) sem precisar acessar as plataformas • Opções específicas da plataforma: segredos gerados podem ser unicos, service account existentes podem ser utilizadas, suporta rotação de senhas (Active Directory) • Segredos dinâmicos para: cloud, bancos de dados, plugins Passos 1. Admin cria credenciais e configura o Vault 2. Cliente autenticado com Vault faz requisição de segredo 3. Vault cria segredo e retorna ao cliente 4. Quando tempo limite atingido, Vault revoga o segredo
  • 15. Copyright © 2018 HashiCorp ∕ Demos 15
  • 16. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 16 Demo 1 - Autenticação Contexto • Um aplicativo em execução na AWS • Precisa acessar um banco de dados, portanto, precisa de credenciais de banco de dados • Em vez de hardcoding essas credenciais, as armazenamos no Vault • Mas como o aplicativo pode se autenticar no Vault? A fazer hardcoding das credenciais do Vault anula o objetivo • Podemos usar a autenticação da AWS do Vault para abstrair as credenciais • Depois que o aplicativo se autentica no Vault, ele pode solicitar as credenciais de banco de dados desejadas TL;DR: aplicativo precisa de um segredo. Obtém do Vault sem credenciais explícitas
  • 17. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 17 Demo 2 – Segredos Dinâmicos Contexto • Um desenvolvedor precisa acessar um bucket S3 do AWS • Para acessar esse recurso da AWS, preciso das chaves da API da AWS • Em vez de ter chaves de API estáticas de longa duração, o Vault gerará dinamicamente essas chaves quando forem necessárias • Como humano, posso me autenticar no Vault com credenciais tradicionais ou, como aplicativo, posso usar um fluxo de trabalho como apresentado na demonstração 1 • Depois de me autenticar no Vault, posso solicitar as chaves da API • Um administrador do Vault pode definir o tempo de vida dessas chaves, permissões e quais identidades têm acesso para solicitá-las • Cada chave gerada será única TL;DR: cliente precisa de chaves na nuvem. O Vault gera chaves e as revoga após TTL
  • 18. Copyright © 2018 HashiCorp ∕ Próximos Passos 18
  • 19. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 19 Aprimorando os Demos Resiliência • Utilizar Vault como um High Availability cluster • Não fazer hardcoding de segredos Vault no Terrafom (usar Replicação e DR) • Utilizar immutable infrastructure (imagens de servidores) Conectividade • Utilizar TLS nas conexōes com Vault • Colocar Vault em subnet privada • Nao permitir ssh direto nas instancias, utilizar bastion hosts • Utilize Service Mesh para proteger comunicação entre bastion host e servidor (Consul) Permissōes • Utilize usuarios Linux com permissōes restritas • Utilize usuários Vault com permissōes restritas • Utilize usuários Cloud com permissōes restritas Gerenciamento • Utilizar Vault Agent para gerenciar logica de Cloud Auth • Colocar Vault como parte de um service discovery cluster (Consul)
  • 20. Copyright © 2019 HashiCorp ∕Copyright © 2019 HashiCorp ∕ 20 Recursos Vault Agent Tutorial: https://learn.hashicorp.com/vault/developer/vault-agent-aws Discussão sobre Immutable Infrastructure: https://www.hashicorp.com/resources/what-is-mutable-vs-immutable-infrastructure Discussão sobre Segredos Dinâmicos https://www.hashicorp.com/blog/why-we-need-dynamic-secrets Como Adobe está usando Vault para gerenciar segredos através de clouds: https://youtu.be/THlpkBioAWQ Demos https://github.com/stenio123/vault_cloud_security
  • 21. ∕Copyright © 2019 HashiCorp 21 www.hashicorp.com hello@hashicorp.com Thank you

Notas do Editor

  1. <note to presenter> frame the discussion to indicate that there are really three pictures that matter #1 is the transition in infrastructure #2 is how we think about them in layers #3 is what success looks like in terms of core Terraform, Vault and Consul as a shared service
  2. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  3. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  4. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  5. <note to presenter> frame the discussion to indicate that there are really three pictures that matter #1 is the transition in infrastructure #2 is how we think about them in layers #3 is what success looks like in terms of core Terraform, Vault and Consul as a shared service
  6. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  7. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  8. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  9. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  10. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  11. <note to presenter> frame the discussion to indicate that there are really three pictures that matter #1 is the transition in infrastructure #2 is how we think about them in layers #3 is what success looks like in terms of core Terraform, Vault and Consul as a shared service
  12. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  13. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  14. <note to presenter> frame the discussion to indicate that there are really three pictures that matter #1 is the transition in infrastructure #2 is how we think about them in layers #3 is what success looks like in terms of core Terraform, Vault and Consul as a shared service
  15. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.
  16. Talk about what’s happening in the world of infrastructure where we are going through a transition that happens in our industry every 20 years: this time from one which is largely dedicated servers in a private datacenter to a pool of compute capacity available on demand. In simple terms, this is a shift from “static” infrastructure to ‘dynamic infrastructure’ which is the reality of cloud. And while the first cloud provider was AWS, it is clear that it will be a multi-cloud world. Each of these platforms have their own key advantages and so it is inevitable that most G2K organizations will use more than one. This is not about moving applications around (since data gravity is a constraint) but rather creates a need for a common operating model across these distinct platforms that allows different teams to leverage the platform for their choice.