Come archiviare le credenziali richieste da un'applicazione?

Tutti dicono che archiviare le credenziali nel controllo versione (git) è una cosa negativa. Quindi ci devono essere altri modi per archiviare le credenziali che sono molto meglio.

Un'applicazione deve ricevere credenziali da qualche parte per utilizzare i servizi da cui dipende. Queste credenziali sono generalmente archiviate nei file di configurazione. L'immissione manuale di ciascun server per creare quel file è fuori discussione, poiché i server vanno e vengono senza intervento umano.

Come gestire le credenziali di un'applicazione?

La corretta gestione dei segreti di un'applicazione è sempre stata una sfida. Nuove sfide sono arrivate con l'adozione del cloud. C'è una grande presentazione OWASP sulla realtà e le sfide della memorizzazione dei segreti nel cloud.

Potresti essere sorpreso di sapere che archiviare i segreti nel codice sorgente è una delle soluzioni (o "architettura") presentate. Questo perché, in questo momento, non esiste un'architettura o un modo perfetti per farlo. Alla fine, i tuoi segreti potrebbero essere crittografati ... ma cosa protegge la chiave di crittografia? "Tartarughe fino in fondo", hanno detto.

Ogni tipo di gestione segreta ha i suoi punti di forza e di debolezza e la presentazione lo copre già. Invece, proverò a esaminare alcune delle funzionalità che potresti cercare in una soluzione di gestione segreta (credenziale):

• Controllo degli accessi: puoi dare accesso in scrittura agli amministratori e accesso in lettura alle applicazioni? Puoi limitare quali applicazioni sono in grado di leggere (l'applicazione A ha accesso solo a quei segreti)?
• Log di controllo: necessari per molti rapporti di conformità e un buon modo per capire se qualcosa non va
• Archiviazione sicura dei segreti: in che modo la soluzione archivia i segreti? DB crittografato? FS crittografato? Chi / cosa detiene la chiave di crittografia, se presente? Come viene utilizzata questa chiave, una volta all'avvio e quindi eliminata in modo sicuro?
• Rotazione o rinnovo di chiavi / password: se un segreto viene compromesso, è possibile revocarlo e inviare un segreto aggiornato alle applicazioni? Le applicazioni possono / dovrebbero raggruppare il servizio di gestione segreto?
• Compatibilità: alcune di queste soluzioni offrono una stretta integrazione con determinate lingue o framework. Alcuni offrono API REST. Sei interessato a questo?

Osservando questi elementi, quanto sono importanti per te e come vengono implementati dalla soluzione, sarai in grado di scegliere uno dei servizi di gestione segreta disponibili .

Per un ambiente puramente basato su EC2, la soluzione più semplice è utilizzare i ruoli AWS IAM e le policy bucket S3. Alcune formulazioni di questo modello includono anche KMS per la crittografia e DynamoDB invece di S3 per l'archiviazione, ma non ho trovato un motivo estremamente convincente da usare. Dai un'occhiata a https://github.com/poise/citadel , è specificamente rivolto agli utenti Chef ma il modello sottostante funziona per qualsiasi cosa, potresti dover creare il tuo aiuto personale per eseguire il download effettivo da S3.