Secrets Management

Dans cet article, je vais donner un aperçu de certains des concepts clés et de l'objectif des secrets, de la gestion des secrets et de la gestion des clés.

Commençons par un certain point de vue de l’industrie. La manière dont les utilisateurs peuvent accéder en toute sécurité à une application et à des données sur des réseaux de tous types est bien comprise et mise en œuvre. Les gens le font tous les jours normalement lorsqu'ils utilisent des applications sur des réseaux et des appareils. Cependant, la sécurisation de l’accès d’application à application et d’application à données n’est pas aussi bien comprise ni mise en œuvre. En effet, les applications distribuées dans des environnements hétérogènes constituent encore une nouvelle tendance.

Les propriétaires d'applications souhaitent tirer parti des applications distribuées dans des environnements hétérogènes et gèrent également des centres de données privés ou des environnements cloud. Il s’agit d’une course croisée d’une mosaïque de solutions ponctuelles qui abordent divers aspects du problème de sécurité. Ce problème est multicouche car toute solution doit prendre en compte l'identité, l'authentification, l'autorisation, les secrets et la gestion des clés.

Comme je l'ai écrit, il existe une mosaïque de solutions dans l'industrie pour gérer divers aspects de la sécurisation de l'accès d'application à application et d'application à données. Tout le monde travaille dur sur ce problème mais le fait demeure et il n'existe toujours pas de solution intégrée qui fonctionne dans tous ces domaines qui combinent les éléments d'identité, d'authentification, d'autorisation, de gestion des secrets et de gestion des clés. C'est un peu complexe à gérer pour toutes les équipes DevOps, SecOps et NetOps.

Quels sont les composants nécessaires pour qu'une application puisse accéder en toute sécurité à un autre ensemble de données d'application. Commencez par établir l’identité de l’application souhaitant accéder à une autre application. Cette identité doit être vérifiable et a établi des ancres solides. Le prochain élément de la chaîne est l’authentification. Il s'agit du processus de vérification de l'identité revendiquée de l'accès dans l'application. Cela se fait généralement avec le certificat, les secrets ou le mot de passe. Une fois que nous sommes en mesure d'authentifier et de vérifier l'identité, nous devons mapper cette identité à un ensemble d'autorisations qui décrivent les ressources auxquelles l'identité peut accéder.

Aujourd'hui, les secrets sont malheureusement soit stockés dans le code, soit accessibles via un coffre-fort externe. Bien que la première pratique soit généralement mauvaise, le second cas nécessite un autre secret qui doit être stocké avec l'application afin d'accéder au coffre-fort où réside la clé qui vous intéresse.

Comment gérez-vous les clés et les secrets dans les communications d'application à application ?