«РБПО для бедных»: настраиваем сервисы безопасной разработки

В прошлой статье цикла мы закончили разворачивать инфраструктуру будущего РБПО: установили GitLab, Nexus, HashiCorp Vault, Dependency-Track и DefectDojo, подготовили отдельную виртуальную машину с инструментами безопасности и убедились, что все сервисы успешно запускаются. Но установить сервисы — это только половина дела. Теперь их нужно настроить и подготовить к совместной работе. Без этого GitLab останется просто GitLab, Vault — просто хранилищем секретов, а DefectDojo и Dependency-Track — красивыми веб-интерфейсами без практической пользы. В этой статье займемся базовой конфигурацией. Настроим GitLab и GitLab Runner, подготовим Nexus к приему артефактов, научим Vault доверять GitLab через JWT-аутентификацию и создадим необходимые сущности в DefectDojo и Dependency-Track. Документация открыта, терминал запущен, банка кваса на месте. Начинаем настройку инструментов.

https://habr.com/ru/companies/bastion/articles/1041704/

#vault #devsecops #рбпо #безопасная_разработка #gitlab #Nexus #hashicorp_vault #DefectDojo #DependencyTrack #настройка

«РБПО для бедных»: разворачиваем сервисы безопасной разработки

В прошлой части цикла мы подготовили фундамент будущего РБПО: развернули виртуальные машины, настроили Ubuntu Server, сеть, брандмауэр и Docker. Другими словами, построили площадку, на которой теперь можно начинать возводить сам конвейер безопасной разработки. Теперь пора наполнять наши виртуальные машины полезным содержимым. Если продолжать сказочную аналогию — заселим наше царство безопасной разработки первыми жителями: хранителем секретов, смотрителем артефактов, летописцем уязвимостей и прочими полезными персонажами. То есть установим и настроим GitLab, Nexus, HashiCorp Vault, DefectDojo и Dependency-Track, а также подготовим отдельную виртуальную машину с набором CLI-инструментов для анализа безопасности. Большая часть сервисов будет работать в Docker-контейнерах, поэтому заодно разберемся с настройкой постоянного хранения данных, Docker Compose и некоторыми особенностями конфигурации отдельных компонентов. Что ж, глаза боятся, а руки команды в терминале набирают. Начнем с GitLab.

https://habr.com/ru/companies/bastion/articles/1038710/

#рбпо #безопасная_разработка #стартапы #DevSecOps #развертывание_GitLab #управление_секретами #HashiCorp_Vault #конвейер_безопасной_разработки #defectdojo #DependencyTrack

Пайплайн не должен хранить секрет: безопасное хранение и доставка секретов для CI/CD с Deckhouse Code и Stronghold

CI/CD-пайплайн, который хранит секреты, — это риск. В безопасной модели он получает доступ к чувствительным данным только на время выполнения задачи и строго в рамках своих прав. Разбираем, почему GitLab CI/CD Variables — это не хранилище секретов, какие подводные камни ждут при самодельной интеграции GitLab CE с HashiCorp Vault и как связка Deckhouse Code и Stronghold закрывает эти проблемы без Bash-портянок в before_script .

https://habr.com/ru/companies/flant/articles/1036474/

#gitlab #hashicorp_vault #deckhouse_code #deckhouse_stronghold #cicd #пайплайны #секреты

Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

https://habr.com/ru/companies/flant/articles/1014914/

#deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

Добавляем паранойи: двойное шифрование секретов

Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

https://habr.com/ru/companies/flant/articles/962466/

#hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

Успех секрета: как доставлять секреты в приложения безопасно и без головной боли

Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform.

https://habr.com/ru/companies/flant/articles/932862/

#deckhouse_stronghold #hashicorp_vault #секреты #безопасность #kubernetes #devops

OpenBao: немного enterprise'ных возможностей при управлении секретами

С момента смены лицензирования Hashicorp Vault утекло много времени и с момента появления проекта OpenBao, мы регулярно следили за его судьбой. Несколько дней назад завезли enterprise-функционал, который доступен безвозмездно. И хотелось бы поделиться этой информацией с сообществом Съесть еще этих мягких булок

https://habr.com/ru/articles/923672/

#vault #openbao #управление_секретами #Секреты_в_Kuberrnetes #hashicorp_vault

Vault8s: доставляем секреты из HashiCorp Vault в Kubernetes

Мы все знаем, что Hashicorp Vault — это фактический стандарт для хранения секретов, а Kubernetes — для размещения приложений. Но как подружить их вместе? Существует множество инструментов для интеграции Vault с Kubernetes, и каждый из них имеет свои плюсы и минусы. Как выбрать подходящий? В этой статье, созданной по мотивам выступления на DevOpsConf’25, вы узнаете о самых популярных инструментах доставки секретов из Hashicorp Vault в Kubernetes, таких как External Secrets Operator, Hashicorp Vault Secrets Operator, Hashicorp Vault Agent Injector, Hashicorp Vault CSI Provider, Bank Vaults-Vault Secrets Webhook. Для каждого инструмента будет приведён пример настройки, объяснено, как именно секрет попадает в приложение, а также мы с вами сравним их с точки зрения ротации секретов и удобства использования. Меня зовут Михаил Кажемский , я Lead DevOps из Hilbert Team . Я в IT уже больше 10 лет и пришёл в DevOps из разработки, поэтому побывал по обе стороны баррикад. Соавтор ряда курсов для инженеров на Яндекс Практикум по направлениям DevOps, Security и Data. Hilbert Team — провайдер IT-решений для крупного и среднего бизнеса в области облачных технологий, DevOps, DevSecOps, DataOps, MLOps и FinOps. Партнёр Yandex Cloud со специализацией Yandex Cloud Professional по направлениям DevOps и Data Platform.

https://habr.com/ru/companies/oleg-bunin/articles/919234/

#secrets #hashicorp_vault #kubernetes #vault #k8s #secretsmanagement #External_Secrets_Operator #HashiCorp_Vault_Secrets_Operator #HashiCorp_Vault_CSI_Provide #HashiCorp_Vault_Agent_Injector

Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных

После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер секретов Deckhouse Stronghold привычный пользователям Vault функционал: от пространств имён до автоматических бэкапов и репликации KV-хранилищ. В статье сравниваем реализацию этих возможностей в обоих продуктах и делимся ближайшими планами по развитию Stronghold.

https://habr.com/ru/companies/flant/articles/911450/

#hashicorp_vault #deckhouse_stronghold #безопасность #секреты #devops

Как мы помогли Piklema Predictive создать надежную и масштабируемую IT-инфраструктуру

Piklema Predictive — российская компания, разрабатывающая решения для оптимизации горного производства через анализ данных диспетчеризации, цифровые советчики, MES-систем и планирования. За 4 года сотрудничества AvantIT выполнил три миграции их инфраструктуры между облаками (Azure → AWS → GCP → Azure), внедрил Kubernetes и настроил мониторинг, что позволило клиентам Piklema снизить затраты на производство на 15–20%. Проблема: Piklema столкнулась с двумя критичными ограничениями. Во-первых, их инфраструктура на Docker Compose не обеспечивала отказоустойчивость, требуемую промышленными заказчиками. Во-вторых, зависимость от грантов вынуждала ежегодно менять облачного провайдера, что приводило к ручным миграциям длительностью до 2 месяцев. Отсутствие мониторинга усугубляло риски: о нехватке ресурсов (например, места на диске) узнавали только после сбоев. Цель проекта: Создать гибкую, отказоустойчивую инфраструктуру, которую относительно просто переносить между облаками при завершении гранта. Она должна...

https://habr.com/ru/articles/903564/

#Миграция_между_облаками #Kubernetes #Terraform #Ansible #cicd #Hashicorp_Vault #GitOps #ArgoCD #high_availability