¿Cómo almacenar las credenciales requeridas por una aplicación?

Todos dicen que almacenar credenciales en el control de versiones (git) es algo malo. Por lo tanto, debe haber otras formas de almacenar credenciales que son mucho mejores.

Una aplicación debe recibir credenciales de algún lugar para usar los servicios de los que depende. Estas credenciales generalmente se almacenan en archivos de configuración. Ingresar manualmente cada servidor para crear ese archivo está fuera de discusión, ya que los servidores van y vienen sin intervención humana.

¿Cómo administrar las credenciales de una aplicación?

La gestión adecuada de los secretos de una aplicación siempre ha sido un desafío. Nuevos desafíos llegaron con la adopción de la nube. Hay una gran presentación de OWASP sobre la realidad y los desafíos de almacenar secretos en la nube.

Es posible que se sorprenda al saber que almacenar secretos en el código fuente es una de las soluciones (o "arquitectura") presentadas. Eso es porque, en este momento, no hay una arquitectura perfecta o una forma de hacerlo. Al final, sus secretos podrían estar encriptados ... pero ¿qué es lo que guarda la clave de encriptación? "Tortugas hasta el fondo", dijeron.

Cada tipo de gestión secreta tiene sus fortalezas y debilidades y la presentación ya cubre eso. En cambio, trataré de repasar algunas de las características que podría estar buscando en una solución de administración secreta (credencial):

• Control de acceso: ¿puede dar acceso de escritura a los administradores y acceso de lectura a las aplicaciones? ¿Puede limitar qué aplicaciones pueden leer (la aplicación A tiene acceso solo a esos secretos)?
• Registros de auditoría: necesarios para muchos informes de cumplimiento y una buena forma de determinar si algo está mal
• Almacenamiento seguro de los secretos: ¿cómo almacena la solución los secretos? DB cifrado? FS cifrado? ¿Quién / qué posee la clave de cifrado, si la hay? ¿Cómo se usa esta clave, una vez al inicio y luego descartada de forma segura?
• Rotación o renovación de claves / contraseñas: si se compromete un secreto, ¿puede revocarlo y enviar un secreto actualizado a las aplicaciones? ¿Pueden / deben las aplicaciones agrupar el servicio de gestión secreta?
• Compatibilidad: algunas de estas soluciones ofrecen una estrecha integración con ciertos lenguajes o marcos. Algunos ofrecen API REST. ¿Estás interesado en esto?

Al observar estos elementos, cómo son importantes para usted y cómo son implementados por la solución, podrá elegir uno de los servicios de administración secreta que existen .

Para un entorno puramente basado en EC2, la solución más fácil es usar roles de AWS IAM y políticas de bucket de S3. Algunas formulaciones de este patrón también incluyen KMS para cifrado y DynamoDB en lugar de S3 para almacenamiento, pero tampoco he encontrado una razón muy convincente para usar. Visite https://github.com/poise/citadel , está dirigido específicamente a los usuarios de Chef, pero el patrón subyacente funciona para cualquier cosa, es posible que deba crear su propio ayudante para realizar la descarga real desde S3.