Hashicorp Vault를 사용하여 응용 프로그램 비밀 정보를 관리하려면 어떻게해야합니까?

Question

Hashicorp Vault가 제공하는 제품에 매우 흥분되지만 현재 아키텍처에 어울리는 방식으로 머리를 감싸는 데 어려움을 겪고 있습니다. 모든 배포와 함께 볼트를 수동으로 봉인 해제해야하는 것은 보안에 큰 이점입니다.하지만 Vault를 처음 봉인 할 때 응용 프로그램이 어떻게 반응합니까?

예를 들어 응용 프로그램 A가 초기화하기 위해 Vault에서 생성 한 데이터베이스 자격 증명에 의존하는 경우 Vault가 봉인 된 상태에서이 응용 프로그램을 배포 할 때 어떻게 반응합니까? 봉인 된 상태를 확인하는 동안 대기 대기 중입니까?

또한 다른 사람들이 Vault에 생산시 특정 비밀을 어떻게 미리 채우고 있습니까? 예를 들어, 시작시 Vault에서 가져와야하는 단일 시스템 일관성에 의존하는 인증 서버가 있습니다. Vault를 배포 한 후에이 비밀번호를 사용할 수 있도록하려면 어떻게해야합니까?

기록을 위해 배포를 위해 docker-compose 및 ecs compose을 사용하여 다른 서비스와 함께 Vault를 배포합니다.

Answer 1

배포간에 볼트를 봉할 필요는 없습니다. Vault는 개봉하지 않은 볼트에서 임대를 갱신하고, 비밀 정보를 읽고, 자격 증명을 만들도록 요구합니다. 볼트는 정상적인 사용 중에 인증 및 권한 부여로 보호됩니다.

상당한 침입이 감지되면 금고를 밀봉해야합니다. 볼트를 봉인하면 재구성 된 마스터 키를 버려 손해를 최소화 할 수 있습니다. 이렇게하면 위험이 완화 될 때까지 Vault가 작동하지 않습니다. 봉인은 Vault에서 발급 한 자격증 명을 취소하지 않습니다.

는 또한 "안전이 비밀 금고를 배포 한 후 사용할 수 있도록?"하는 기존의 비밀을 가져 오는 방법에 대해 질문 :

이

당신은 후 가져 오기 위해 기존의 비밀에 대한 쓰기 명령을 실행한다 금고가 개봉되었습니다. 비밀을 읽을 수 있도록 안전하게 보관할 수 있습니다. 읽기 또는 쓰기 조작은 일반적으로 CLI 또는 API를 사용할 때 안전합니다.

$ vault write secret/single-consistent-system-secret value=secret-stuff 
Success! Data written to: secret/single-consistent-system-secret 

$ vault read secret/single-consistent-system-secret 
Key    Value 
lease_duration 2592000 
value   secret-stuff