Go to content

Déploiement de vos secrets applicatifs : Hashicorp Vault et la livraison en continue (A. DuBreuil)

La gestion des secrets applicatifs, tels que les identifiants de connexion aux bases de données, les phrases secrètes (“passphrase”), les sels (“salt”) et les clefs privées, est difficile. La disponibilité de ces éléments est critique au bon fonctionnement d’une application, mais ils ont besoin d’être correctement protégé afin de réduire la surface d’attaque du système. La plupart des systèmes de gestion de secrets, comme Hashicorp Vault, sont utilisés comme une base de données centralisée, mais cela devient un point de défaillance unique et nécessite un effort supplémentaire pour sécuriser l’ensemble du système. Pourquoi ne pas déployer vos secrets, avec Hashicorp Vault, en même temps que votre application ? Grâce à votre usine logicielle, il est possible de déployer une copie de vos secrets dans un Vault sécurisé par un “one time token”, accessible seulement par votre application. Dans cette présentation, nous allons présenter un pipeline de livraison continue permettant cette approche, montrer les implications de la gestion de secrets dans votre infrastructure de build, et utiliser le “threat modeling” pour vérifier la sécurité du Vault déployé.

April 17, 2019