• 极狐GitLab CI x Vault,做好企业密钥安全合规管理


    目录

    关于 Vault

    极狐GitLab CI 与 Vault 的集成原理

    极狐GitLab CI 与 Vault 集成的两种方式

    secrets:vault 关键字的使用

    CLI 方式


    ​“千里之堤,溃于蚁穴”,密钥管理对于软件研发全生命周期来讲犹如蚁穴之于长堤,密钥泄漏已经成为导致企业被勒索攻击的重要因素。安全合规的管理密钥,除了能够有效避免企业遭受重大经济损失,还能够打造良好的企业安全文化,帮助企业在加速软件交付的同时保证安全合规。

    密钥管理需要覆盖软件研发全生命周期,比如在编码阶段需要避免密钥硬编码、在构建阶段需要避免密钥被打印到构建日志中、在测试阶段需要去扫描变更代码(或历史中)是否含有密钥信息等。极狐GitLab 本身具备成熟的密钥管理功能,比如在 CI/CD Pipeline 阶段,可以用 CI 环境变量来存储密钥,还可以将密钥检测的安全扫描手段嵌入到 CI/CD Pipeline 中,及时发现变更代码中的密钥信息,避免外泄。关于极狐GitLab CI 对于密钥的管理可以查看文章极狐GitLab CI/CD SSHKEY Mask 的几种方式;关于极狐GitLab 密钥安全扫描的文章可以查看1 行代码开启「密钥检测」,给敏感数据加上防护锁

    本文将演示极狐GitLab CI 与 Vault 集成来进行密钥的安全合规管理。

    关于 Vault

    Vault 是 Hashorp 公司推出的一款开源的、基于身份识别的密钥和加密管理系统。以 Default deny all 的原则来管理诸如 API key、用户名密码(password)、访问令牌(token)及证书(certificates)等密钥。更多关于 Vault 的内容可以查看 Vault 官网

    极狐GitLab CI 与 Vault 的集成原理

    1. 在 vault 上配置密钥(UI、CLI、API 均可);

    2. 生成 JWT 以供 CI Job 用;

    3. Runner 和 Hashicorp 连接并用 JWT 做认证;

    4. Vault 对 JWT 进行验证;

    5. Vault 对于 bound claim 和 对应的 vault policy 进行检查;

    6. Vault 返回访问令牌;

    7. Runner 从 Vault 读取密钥信息进行使用。

    极狐GitLab CI 与 Vault 集成的两种方式

    可以使用 secrets 关键字或 CLI 的方式来在极狐GitLab CI 中使用 Vault。

    secrets:vault 关键字的使用

    secrets 是极狐GitLab CI 中用来从外部密钥管理工具读取密钥的关键字。可以使用 secrets:vault 从 vault 服务器读取存储在里面的密钥信息。

    比如在 vault 中使用 kv engine (v2)来存储容器镜像仓库的用户名和密码:

    1. # 写入用户名和密码
    2. $ vault kv put jh/docker-registry/credentials username=jh-gitlab password=passw0rd
    3. # 读取用户名和密码
    4. vault read -format=json jh/data/docker-registry/credentials | jq -r '.data.data'
    5. {
    6. "password": "passw0rd",
    7. "username": "jh-gitlab"
    8. }

    将 vault 相关的环境变量存储在极狐GitLab CI 变量中:

    • VAULT_SERVER_URL:vault 服务器地址;

    • VAULT_AUTH_ROLE:vault 上创建的 role,用来和对应的 policy 进行绑定,实现存储密钥的精细化管控;

    • VAULT_AUTH_PATH:认证方法在 vault auth 中的挂载路径,默认为 jwt

    .gitlab-ci.yml 文件内容如下:

    1. stages:
    2. - vault
    3. get_credentials:
    4. stage: vault
    5. tags:
    6. - vault
    7. image:
    8. name: vault:1.13.3
    9. secrets:
    10. DATABASE_PASSWORD:
    11. vault: docker-registry/credentials/password@jh
    12. script:
    13. - echo $DATABASE_PASSWORD

    查看 CI/CD Pipeline 构建结果:

    可以看到极狐GitLab CI 读取 vault 信息成功,并且将其保存到名为 DATABASE_PASSWORD 的文件里面,路径如红色方框截图所示。

    CLI 方式

    通过 CLI 的方式就像本地访问 valut 一样,用 vault 的各种命令即可实现对密钥的增删改查等操作。依旧以前面写入的密钥信息为例来演示 CLI 在极狐GitLab CI 中的使用。

    .gitlab-ci.yml 文件内容如下:

    1. get_credentials:
    2. stage: vault
    3. tags:
    4. - vault
    5. image: vault:1.13.3
    6. script:
    7. # vault 服务器的地址
    8. - export VAULT_ADDR=http://163.228.231.126:8200
    9. # vault 认证授权所用的 token
    10. - export VAULT_TOKEN="$(vault write -field=token auth/jwt/login role=jh jwt=$CI_JOB_JWT)"
    11. # 从 vault 读取密钥信息
    12. - export PASSWORD="$(vault kv get -field=password jh/docker-registry/credentials)"
    13. # 打印密钥信息
    14. - echo $PASSWORD

    查看 CI/CD Pipeline 构建结果:

    可以看到极狐GitLab CI 读取 vault 信息成功。

    注意,直接使用 CLI 方式读取的密钥信息,可以使用 echo 命令打印出来,需要避免在 CI/CD Pipeline 构建中打印密钥信息或者采取第一种方式来避免造成密钥信息在 CI/CD Pipeline 构建过程中的泄漏。

    参考:

    1.  极狐GitLab vault 官网文档

    2.  极狐GitLab 售前解决方案架构师尹学峰编写的极狐GitLab 与 vault 的详细配置文档

  • 相关阅读:
    JAVA通过JNA 调用c++动态链接库
    简单工厂和工厂模式
    Java中equals()相关
    vue项目中定位组件来源的查找思路
    通过求解数学模型来选择编码节点的最佳数量和位置(Matlab代码实现)
    RocketMQ的可靠性传输
    使用Docker配置深度学习的运行环境
    JNPF开发平台凭什么火?
    Invisible Backdoor Attack with Sample-Specific Triggers 论文笔记
    浏览器中的音视频知识总结v1.0(工作中需要和视频打交道必看!)
  • 原文地址:https://blog.csdn.net/weixin_44749269/article/details/132816996