Управление секретами – чрезвычайно важная часть DevOps и обеспечения безопасности, независимо от того, храните ли вы секреты для инфраструктуры в виде кода или других задач.
Самым популярным тут является Hashicorp Vault.
Однако есть и другие решения.
CyberArk Conjur – это решение с открытым исходным кодом, которое вы можете свободно скачать и установить для управления секретами.
- Что такое CyberArk Conjur?
- Особенности CyberArk Conjur
- Интеграция с инструментами DevOps
- Поддержка нечеловеческих идентификаторов
- Поддерживает облако
- Помогает защитить контейнерные среды ;
- Установка CyberArk Conjur с открытым исходным кодом
- Настройка и определение политики
- Сохранение секрета
- Запустим демонстрационное приложение CyberArk Conjur
- Conjur Server и Conjur Secrets Manager Enterprise
- Заключение
Что такое CyberArk Conjur?
CyberArk Conjur – это бесплатный инструмент с открытым исходным кодом, который вы можете скачать здесь.
С его помощью вы можете управлять секретами в разных инструментах, приложениях и облаках.
Он может аутентифицировать контейнеры, изолировать секреты от приложений и использоваться для управления привилегированным доступом, чтобы контролировать доступ для нечеловеческих идентификаторов.
Он позволяет безопасно хранить и извлекать учетные данные, ключи API и другие секреты.
Особенности CyberArk Conjur
Обратите внимание на следующие особенности Conjur:
- Безопасное хранение: Хранение в Conjur безопасно и гарантирует, что доступ к нему могут получить только пользователи и нечеловеческие идентификаторы, если они авторизованы и имеют на это право.
- Доступ: Обеспечивает контроль доступа для управления тем, кто может получить определенные секреты.
- Аудит: Conjur позволяет отслеживать все доступы к секретам и вести учет для всестороннего аудита конфиденциальных данных.
Интеграция с инструментами DevOps
Как и другие инструменты управления секретами, Conjur хорошо интегрируется с инструментами DevOps, включая пайплайны CI/CD.
Такая интеграция с DevOps гарантирует, что ваши секреты будут надежно защищены в процессе разработки и развертывания.
Поддержка нечеловеческих идентификаторов
Это очень важно. Нечеловеческие идентификаторы часто игнорируются, когда речь заходит о надлежащей безопасности.
К нечеловеческим идентификаторам относятся такие вещи, как учетные записи служб и приложений, а также машинные идентификаторы.
Conjur – хороший инструмент в этой области.
С его помощью можно обеспечить безопасное управление секретами для нечеловеческих идентификаторов, таких как учетные записи служб и другие нечеловеческие идентификаторы.
Поддерживает облако
Conjur поддерживает все основные облачные среды и облачных провайдеров, включая AWS, Azure и Google Cloud.
Он надежно хранит секреты для облачных сред и делает их доступными только для авторизованных облачных сервисов и настроенных пользователей.
Он также может дополнять сервисы облачных секретов, такие как AWS Secrets Manager. Вы можете использовать его вместе с AWS Secrets Manager, чтобы обеспечить дополнительный уровень безопасности и возможности управления при получении секретов.
Помогает защитить контейнерные среды ;
В контейнерных средах управление секретами может быть затруднено.
CyberArk Conjur предлагает решение, которое хорошо интегрируется с инструментами оркестровки контейнеров, такими как Kubernetes.
Conjur позволяет контейнерам безопасно аутентифицироваться и считывать секреты, не раскрывая их.
Даже в динамичных контейнерных средах необходимо убедиться, что они защищены должным образом.
Установка CyberArk Conjur с открытым исходным кодом
CyberArk предоставляет руководство по быстрому запуску, чтобы показать вам, как запустить CyberArk Conjur и начать хранить секреты.
Ниже мы выполним следующие шаги по настройке демонстрационной среды.
Сначала нам нужно клонировать репо для Conjur на наш хост Docker:
Создается учетная запись с именем myConjurAccount и инициализируется пользователь admin, создаются следующие ключи, которые хранятся в файле admin_data:
- API-ключ пользователя admin. Позже мы будем использовать этот ключ для входа в Conjur.
- myConjurAccount Открытый ключ учетной записи Conjur.
Настройка и определение политики
Политики определяют сущности Conjur и отношения между ними.
Сущности в мире Conjur – это все, что угодно: политика, хост, пользователь, уровень, группа или переменная.
Загруженный нами git-проект содержит пример политики приложения под названием BotApp.yml.
Сначала мы войдем в систему под именем администратора.
Вам понадобится ключ API, найденный в файле admin_data.
Сохранение секрета
Теперь, когда политика загружена, давайте сохраним секрет.
Вам понадобится ключ API в файле my_app_data.
Наконец, давайте сохраним секрет:
Запустим демонстрационное приложение CyberArk Conjur
Наконец, достаньте секрет:
Conjur Server и Conjur Secrets Manager Enterprise
Заключение
- 🔑 Как развернуть Vaultwarden
- 🔐 Как использовать Ansible Vault в плейбуках для защиты конфиденциальных данных
- 🔒 Как читать секреты Vault из контейнеров Docker
- 🔒 Учебник по Vault. Часть 6
- 🔒 Учебник по Vault. Часть 5
- 🔒 Учебник по Vault. Часть 4
- 🔒 Учебник по Vault. Часть 3
- 🔒 Учебник по Vault. Часть 2
- 🔒 Учебник по Vault. Часть 1
- 💽 Шпаргалка Ansible Vault / Справочное руководство