home.social

#deckhouse_stronghold — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #deckhouse_stronghold, aggregated by home.social.

  1. Habr @[email protected] ·

    Пайплайн не должен хранить секрет: безопасное хранение и доставка секретов для CI/CD с Deckhouse Code и Stronghold

    CI/CD-пайплайн, который хранит секреты, — это риск. В безопасной модели он получает доступ к чувствительным данным только на время выполнения задачи и строго в рамках своих прав. Разбираем, почему GitLab CI/CD Variables — это не хранилище секретов, какие подводные камни ждут при самодельной интеграции GitLab CE с HashiCorp Vault и как связка Deckhouse Code и Stronghold закрывает эти проблемы без Bash-портянок в before_script .

    habr.com/ru/companies/flant/ar

    #gitlab #hashicorp_vault #deckhouse_code #deckhouse_stronghold #cicd #пайплайны #секреты

    #секреты #пайплайны #cicd #deckhouse_stronghold #deckhouse_code #hashicorp_vault
  2. Habr @[email protected] ·

    Пайплайн не должен хранить секрет: безопасное хранение и доставка секретов для CI/CD с Deckhouse Code и Stronghold

    CI/CD-пайплайн, который хранит секреты, — это риск. В безопасной модели он получает доступ к чувствительным данным только на время выполнения задачи и строго в рамках своих прав. Разбираем, почему GitLab CI/CD Variables — это не хранилище секретов, какие подводные камни ждут при самодельной интеграции GitLab CE с HashiCorp Vault и как связка Deckhouse Code и Stronghold закрывает эти проблемы без Bash-портянок в before_script .

    habr.com/ru/companies/flant/ar

    #gitlab #hashicorp_vault #deckhouse_code #deckhouse_stronghold #cicd #пайплайны #секреты

    #секреты #пайплайны #cicd #deckhouse_stronghold #deckhouse_code #hashicorp_vault
  3. Habr @[email protected] ·

    Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

    При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

    #плагин #secretsmanagement #secrets #gitops #hashicorp_terraform #hashicorp_vault
  4. Habr @[email protected] ·

    Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

    При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

    #плагин #secretsmanagement #secrets #gitops #hashicorp_terraform #hashicorp_vault
  5. Habr @[email protected] ·

    Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

    При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

    #плагин #secretsmanagement #secrets #gitops #hashicorp_terraform #hashicorp_vault
  6. Habr @[email protected] ·

    Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

    При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

    #deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement
  7. Habr @[email protected] ·

    Добавляем паранойи: двойное шифрование секретов

    Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

    #secrets #secretsmanagement #seal_wrap #deckhouse_stronghold #hashicorp_vault
  8. Habr @[email protected] ·

    Добавляем паранойи: двойное шифрование секретов

    Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

    #secrets #secretsmanagement #seal_wrap #deckhouse_stronghold #hashicorp_vault
  9. Habr @[email protected] ·

    Добавляем паранойи: двойное шифрование секретов

    Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

    #secrets #secretsmanagement #seal_wrap #deckhouse_stronghold #hashicorp_vault
  10. Habr @[email protected] ·

    Добавляем паранойи: двойное шифрование секретов

    Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

    #hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets
  11. Habr @[email protected] ·

    Успех секрета: как доставлять секреты в приложения безопасно и без головной боли

    Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #секреты #безопасность #kubernetes #devops

    #devops #kubernetes #безопасность #секреты #hashicorp_vault #deckhouse_stronghold
  12. Habr @[email protected] ·

    Успех секрета: как доставлять секреты в приложения безопасно и без головной боли

    Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #секреты #безопасность #kubernetes #devops

    #devops #kubernetes #безопасность #секреты #hashicorp_vault #deckhouse_stronghold
  13. Habr @[email protected] ·

    Успех секрета: как доставлять секреты в приложения безопасно и без головной боли

    Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #секреты #безопасность #kubernetes #devops

    #devops #kubernetes #безопасность #секреты #hashicorp_vault #deckhouse_stronghold
  14. Habr @[email protected] ·

    Успех секрета: как доставлять секреты в приложения безопасно и без головной боли

    Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform.

    habr.com/ru/companies/flant/ar

    #deckhouse_stronghold #hashicorp_vault #секреты #безопасность #kubernetes #devops

    #deckhouse_stronghold #hashicorp_vault #секреты #безопасность #kubernetes #devops
  15. Habr @[email protected] ·

    Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных

    После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер секретов Deckhouse Stronghold привычный пользователям Vault функционал: от пространств имён до автоматических бэкапов и репликации KV-хранилищ. В статье сравниваем реализацию этих возможностей в обоих продуктах и делимся ближайшими планами по развитию Stronghold.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #безопасность #секреты #devops

    #devops #секреты #безопасность #deckhouse_stronghold #hashicorp_vault
  16. Habr @[email protected] ·

    Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных

    После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер секретов Deckhouse Stronghold привычный пользователям Vault функционал: от пространств имён до автоматических бэкапов и репликации KV-хранилищ. В статье сравниваем реализацию этих возможностей в обоих продуктах и делимся ближайшими планами по развитию Stronghold.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #безопасность #секреты #devops

    #devops #секреты #безопасность #deckhouse_stronghold #hashicorp_vault
  17. Habr @[email protected] ·

    Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных

    После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер секретов Deckhouse Stronghold привычный пользователям Vault функционал: от пространств имён до автоматических бэкапов и репликации KV-хранилищ. В статье сравниваем реализацию этих возможностей в обоих продуктах и делимся ближайшими планами по развитию Stronghold.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #безопасность #секреты #devops

    #devops #секреты #безопасность #deckhouse_stronghold #hashicorp_vault
  18. Habr @[email protected] ·

    Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных

    После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер секретов Deckhouse Stronghold привычный пользователям Vault функционал: от пространств имён до автоматических бэкапов и репликации KV-хранилищ. В статье сравниваем реализацию этих возможностей в обоих продуктах и делимся ближайшими планами по развитию Stronghold.

    habr.com/ru/companies/flant/ar

    #hashicorp_vault #deckhouse_stronghold #безопасность #секреты #devops

    #hashicorp_vault #deckhouse_stronghold #безопасность #секреты #devops