Рубрики
Uncategorized

Управление паролями и другими секретами между командами

4 вещи, которые вашей организации может понадобиться безопасным и безопасным способом сделать (потому что вероятность, что они сейчас не так). Tagged с DevOps, Security.

Несколько лет назад я помогал компании получить свои секреты по порядку. В Google Docs, в шеф -поваре, хранились секреты, в GIT, в изображении OSX, хранящемся в GIT, в электронной почте, в файле вручную, размещенном в экземпляре Jenkins где -то рядом с вами. Это помогает разделить ваши решения с помощью общих вариантов использования, а не использовать один инструмент для всего, поэтому вот 4 вещи, которые вашей организации может понадобиться безопасным и безопасным способом для выполнения (потому что вероятность того, что они не сейчас). Отказ от ответственности: я не имею никакой связи с какой -либо из этих компаний, упомянутых ниже.

  1. Иметь способ обмена учетными данными внутри, включая нетехнических пользователей. Используйте что -то вроде LastPass Enterprise , 1Password Teams делиться такими вещами, как администратор и учетные данные. Эти услуги также поставляются с расширением для большинства браузеров, чтобы автоматически заполнить ваши пароли на всех ваших сайтах, и вы все равно можете поделиться ими с группами. Такие вещи, как учетные данные базы данных, здесь не подходят, и принадлежат ближе к машинам, которые должны прочитать их там, где ваши инженеры могут взаимодействовать с ними.

  2. Имейте способ надежного хранения и обмена конфиденциальными файлами, включая нетехнических пользователей. LastPass позволяет сохранять файлы, отлично подходящие для таких вещей, как ZIP, содержащие SSL -сертификаты и что -то вроде. Это не подходит для отправки таких вещей, как чувствительные PDF -файлы. Google Drive/Dropbox в определенной степени работает, но не хватает хороших функций аудита, чтобы узнать, какие файлы были переданы тем, какие пользователи. Egnyte & Ускорение Предложите платные услуги для этого конкретного типа использования (и вы, вероятно, будете иметь требования к соответствию/нормативным требованиям), прежде чем вам это действительно понадобится.

  3. Имейте безопасный способ отправки секретов кому -то другому (не группе). Некоторые из ваших пользователей, вероятно, будут отправлять Slack, а затем удалять сообщение — это ужасное решение — но я также виновен в нем — это слишком легко. OneTimesecret.com это полезный сайт, который позволяет отправлять секреты, используя единовременную ссылку (и он может иметь пассис, а также истекать). Хранилище может делать «обертывание ответов» который позволяет вам делиться секретом, когда вы никогда не увидели секрет-не очень удобны для пользователя, но более удобны для разработчиков.

  4. Имейте способ хранения учетных данных, с которыми сталкиваются учетные данные, которых нет на вашем компьютере. Вот где использование инструментов, таких как Хранилище или AWS Parameter Store Сделайте это очень легким, если вы работаете в облачной среде в более крупной команде. Вы также можете пойти на голые кости и хранить их в git, используя git-crypt или Использование AWS KMS для шифрования секретов локально Анкет Вы всегда можете использовать Зашитые мешки с данными от шеф -повара , Ansible Vault , или Puppet Hiera-E-e-e-e-e-e-e-eyaml Если вы используете одну из этих систем управления конфигурацией.

Последнее — выяснить приличную схему авторизации, чтобы вы знали, кто имеет доступ к чему. Это во многом зависит от того, насколько хорошо вы можете определить «кто», различные типы «доступа» и «что» — все это те, к чему люди могут иметь доступ.

Оригинал: «https://dev.to/intricatecloud/managing-passwords-and-other-secrets-across-teams-1518»