🐧 Как установить CyberArk Conjur – Open Source инструмент управления секратами |

🐧 Как установить CyberArk Conjur – Open Source инструмент управления секратами

Мануал

Управление секретами – чрезвычайно важная часть DevOps и обеспечения безопасности, независимо от того, храните ли вы секреты для инфраструктуры в виде кода или других задач.

Самым популярным тут является Hashicorp Vault.

Однако есть и другие решения.

CyberArk Conjur – это решение с открытым исходным кодом, которое вы можете свободно скачать и установить для управления секретами.

Что такое CyberArk Conjur?

CyberArk Conjur – это бесплатный инструмент с открытым исходным кодом, который вы можете скачать здесь.

С его помощью вы можете управлять секретами в разных инструментах, приложениях и облаках.

Он может аутентифицировать контейнеры, изолировать секреты от приложений и использоваться для управления привилегированным доступом, чтобы контролировать доступ для нечеловеческих идентификаторов.

Он позволяет безопасно хранить и извлекать учетные данные, ключи API и другие секреты.

Особенности CyberArk Conjur

Обратите внимание на следующие особенности Conjur:

  • Безопасное хранение: Хранение в Conjur безопасно и гарантирует, что доступ к нему могут получить только пользователи и нечеловеческие идентификаторы, если они авторизованы и имеют на это право.
  • Доступ: Обеспечивает контроль доступа для управления тем, кто может получить определенные секреты.
  • Аудит: Conjur позволяет отслеживать все доступы к секретам и вести учет для всестороннего аудита конфиденциальных данных.

Интеграция с инструментами DevOps

Как и другие инструменты управления секретами, Conjur хорошо интегрируется с инструментами DevOps, включая пайплайны CI/CD.

Такая интеграция с DevOps гарантирует, что ваши секреты будут надежно защищены в процессе разработки и развертывания.

Поддержка нечеловеческих идентификаторов

Это очень важно. Нечеловеческие идентификаторы часто игнорируются, когда речь заходит о надлежащей безопасности.

К нечеловеческим идентификаторам относятся такие вещи, как учетные записи служб и приложений, а также машинные идентификаторы.

Conjur – хороший инструмент в этой области.

С его помощью можно обеспечить безопасное управление секретами для нечеловеческих идентификаторов, таких как учетные записи служб и другие нечеловеческие идентификаторы.

Поддерживает облако

Conjur поддерживает все основные облачные среды и облачных провайдеров, включая AWS, Azure и Google Cloud.

Он надежно хранит секреты для облачных сред и делает их доступными только для авторизованных облачных сервисов и настроенных пользователей.

Он также может дополнять сервисы облачных секретов, такие как AWS Secrets Manager. Вы можете использовать его вместе с AWS Secrets Manager, чтобы обеспечить дополнительный уровень безопасности и возможности управления при получении секретов.

Помогает защитить контейнерные среды ;

В контейнерных средах управление секретами может быть затруднено.

CyberArk Conjur предлагает решение, которое хорошо интегрируется с инструментами оркестровки контейнеров, такими как Kubernetes.

Conjur позволяет контейнерам безопасно аутентифицироваться и считывать секреты, не раскрывая их.

Даже в динамичных контейнерных средах необходимо убедиться, что они защищены должным образом.

Установка CyberArk Conjur с открытым исходным кодом

CyberArk предоставляет руководство по быстрому запуску, чтобы показать вам, как запустить CyberArk Conjur и начать хранить секреты.

Ниже мы выполним следующие шаги по настройке демонстрационной среды.

Сначала нам нужно клонировать репо для Conjur на наш хост Docker:

git clone https://github.com/cyberark/conjur-quickstart.git
После клонирования репозитория вы увидите папку conjur-quickstart.
Бегло просмотрев файл Docker-compose, вы увидите, что сервисы определены.
Далее мы извлечем образы контейнеров сервисов, определенных в файле Docker Compose:
docker-compose pull
Теперь мы используем следующую команду для создания мастер-ключа, который будет использоваться для шифрования базы данных:
docker-compose run --no-deps --rm conjur data-key generate > data_key
Далее мы загружаем мастер-ключ в качестве переменной окружения:
export CONJUR_DATA_KEY="$(< data_key)"
Затем вызовите стек Docker Compose командой:
docker-compose up -d
Теперь создадим учетную запись администратора с помощью команды:

Создается учетная запись с именем myConjurAccount и инициализируется пользователь admin, создаются следующие ключи, которые хранятся в файле admin_data:

  • API-ключ пользователя admin. Позже мы будем использовать этот ключ для входа в Conjur.
  • myConjurAccount Открытый ключ учетной записи Conjur.

Настройка и определение политики

Политики определяют сущности Conjur и отношения между ними.

Сущности в мире Conjur – это все, что угодно: политика, хост, пользователь, уровень, группа или переменная.

Загруженный нами git-проект содержит пример политики приложения под названием BotApp.yml.

Сначала мы войдем в систему под именем администратора.

Вам понадобится ключ API, найденный в файле admin_data.

docker-compose exec client conjur login -i admin
Теперь мы можем загрузить политику, а затем снова выйти из системы:
docker-compose exec client conjur policy load -b root -f policy/BotApp.yml > my_app_data
docker-compose exec client conjur logout

Сохранение секрета

Теперь, когда политика загружена, давайте сохраним секрет.

Вам понадобится ключ API в файле my_app_data.

docker-compose exec client conjur login -i Dave@BotApp
Чтобы проверить, правильно ли вы вошли в систему, выполните следующую команду:
docker-compose exec client conjur whoami
Теперь мы генерируем секретное значение:

secretVal=$(openssl rand -hex 12 | tr -d '\r\n')

Наконец, давайте сохраним секрет:

docker-compose exec client conjur variable set -i BotApp/secretVar -v ${secretVal}

Запустим демонстрационное приложение CyberArk Conjur

Теперь нам нужно запустить сессию Bash, сгенерировать токен Conjur и затем получить секрет.
Сначала войдите в сессию Bash:
docker exec -it bot_app bash
Затем сгенерируйте токен Conjur.
Вам нужно будет заглянуть в файл my_app_data и получить свой токен BotApp API.
curl -d "<BotApp API Key>" -k https://proxy/authn/myConjurAccount/host%2FBotApp%2FmyDemoApp/authenticate > /tmp/conjur_token

Наконец, достаньте секрет:

/tmp/program.sh

Conjur Server и Conjur Secrets Manager Enterprise

Существует также корпоративная версия CyberArk Conjur.
Корпоративная версия предоставляет больше возможностей, таких как расширенная поддержка и масштабируемость.
Кроме того, она обладает более широкими возможностями интеграции.
Крупным организациям со сложными задачами управления секретами, скорее всего, пригодятся дополнительные функции платного решения.

Заключение

Как мы убедились в этом обзоре, решение CyberArk Conjur с открытым исходным кодом для управления секретами легко запустить и начать хранить свои секреты без особых усилий.
Для большинства базовых задач и случаев использования решение с открытым исходным кодом, вероятно, обеспечит все необходимое для большинства организаций или если вы ищете платформу для управления секретами для своей домашней лаборатории.
А вы уже пробовали CyberArk Conjur с открытым исходным кодом?
Какое решение для управления секретами вы используете в своей среде?
см. также:

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий