Bagaimana cara menyimpan kredensial yang diperlukan oleh suatu aplikasi?

Semua orang mengatakan bahwa menyimpan kredensial di kontrol versi (git) adalah hal yang buruk. Jadi harus ada cara lain untuk menyimpan kredensial yang jauh lebih baik.

Aplikasi harus menerima kredensial dari suatu tempat untuk menggunakan layanan yang bergantung padanya. Kredensial ini biasanya disimpan dalam file konfigurasi. Memasukkan setiap server secara manual untuk membuat file itu tidak mungkin, karena server datang dan pergi tanpa campur tangan manusia.

Bagaimana cara mengelola kredensial aplikasi?

Pengelolaan rahasia aplikasi yang tepat selalu menjadi tantangan. Tantangan baru datang dengan adopsi cloud. Ada presentasi OWASP yang hebat tentang kenyataan dan tantangan menyimpan rahasia di awan.

Anda mungkin terkejut mendengar bahwa menyimpan rahasia ke dalam kode sumber adalah salah satu solusi (atau "arsitektur") yang disajikan. Itu karena, saat ini, tidak ada arsitektur yang sempurna atau cara melakukan ini. Pada akhirnya, rahasia Anda mungkin dienkripsi ... tetapi apa yang menjaga kunci enkripsi? "Turtles sepanjang jalan", kata mereka.

Setiap jenis manajemen rahasia memiliki kekuatan dan kelemahannya dan presentasi sudah mencakup itu. Sebagai gantinya, saya akan mencoba membahas beberapa fitur yang mungkin Anda cari dalam solusi manajemen rahasia (kredensial):

• Kontrol akses: dapatkah Anda memberikan akses tulis ke admin dan membaca akses ke aplikasi? Bisakah Anda membatasi aplikasi apa yang dapat dibaca (aplikasi A hanya memiliki akses ke rahasia itu)?
• Log audit: diperlukan untuk banyak laporan kepatuhan dan cara yang baik untuk mengetahui apakah ada sesuatu yang salah
• Penyimpanan rahasia yang aman: bagaimana solusinya menyimpan rahasia? DB terenkripsi? FS terenkripsi? Siapa / apa yang memegang kunci enkripsi, jika ada? Bagaimana kunci ini digunakan - satu kali saat startup dan kemudian dibuang dengan aman?
• Rotasi atau pembaruan kunci / kata sandi: jika suatu rahasia dikompromikan, dapatkah Anda mencabutnya dan mengirim rahasia yang diperbarui ke aplikasi? Bisakah / haruskah aplikasi menggabungkan layanan manajemen rahasia?
• Kompatibilitas: Beberapa solusi ini menawarkan integrasi yang erat dengan bahasa atau kerangka kerja tertentu. Beberapa menawarkan REST API. Apakah Anda tertarik dengan ini?

Dengan melihat item-item ini, bagaimana mereka penting bagi Anda dan bagaimana mereka diterapkan oleh solusi, Anda akan dapat memilih salah satu layanan manajemen rahasia di luar sana .

Untuk lingkungan murni berbasis EC2, solusi termudah adalah dengan menggunakan peran AWS IAM dan kebijakan bucket S3. Beberapa formulasi dari pola ini juga termasuk KMS untuk enkripsi dan DynamoDB bukan S3 untuk penyimpanan tetapi saya belum menemukan alasan yang sangat menarik untuk menggunakan keduanya. Lihat https://github.com/poise/citadel , ini khusus ditujukan untuk pengguna Chef tetapi pola yang mendasari bekerja untuk apa pun, Anda mungkin harus membuat pembantu sendiri untuk melakukan unduhan aktual dari S3.