Как легко защитить секреты Docker с помощью Keeper Secrets Manager?

Управление секретами является неотъемлемой частью безопасности контейнеров. Код приложения часто зависит от секретов инфраструктуры, таких как ключи API, пароли и токены доступа. Слишком часто разработчики и персонал DevOps жестко кодируют эти секреты в образы контейнеров или вводят их в качестве переменных среды. Оба этих метода делают секреты уязвимыми для компрометации. Кроме того, жесткое кодирование секретов привязывает процесс управления секретами к процессу разработки, что означает, что изменение или ротация секрета требует рефакторинга и повторного развертывания кода.

Хотя Docker CLI включает в себя команды управления секретами, они работают только с кластерами бесконтрольного роста, а не отдельными контейнерами. Чтобы обойти это ограничение, пользователи могут определять секреты в файле Docker Compose через поле секретов верхнего уровня. Однако для этого администраторы должны хранить секреты в конфигурационных (т. е. в обычных текстовых) файлах, которые привязываются к контейнерам и считываются приложениями. Если эти файлы будут переданы в управление исходным кодом, любой пользователь с доступом к хранилищу, сможет получить к ним доступ.

Хранение секретов Docker в текстовых файлах не только небезопасно, но и приводит к расползанию секретов, т. е. к ситуации, когда секреты инфраструктуры хранятся по всей сети без определенного порядка. Когда у организации относительно небольшое количество секретов, это не кажется большой проблемой, но по мере роста компании секреты инфраструктуры увеличиваются в геометрической прогрессии. Например, одних только SSH-ключей может быть несколько тысяч.

Защитите секреты Docker без расползания

Keeper Secrets Manager (KSM), первое и единственное облачное решение с нулевым доверием и нулевым разглашением для защиты секретов инфраструктуры, позволяет разработчикам и персоналу DevOps легко защищать секреты Docker и все другие секреты инфраструктуры, повышая безопасность контейнеров и устраняя расползание секретов по всей среде данных.

KSM предлагает разработчикам и группам DevOps три основных способа защиты секретов Docker.

1. Создание образа с секретами с помощью BuildKit

С помощью Docker BuildKit секреты из хранилища Keeper Vault можно встроить в контейнер Docker. Начиная с Docker 18.09 или более поздней версии, создание образов поддерживает возможность передачи секретов через смонтированную файловую систему. Этот метод можно сравнить с выпечкой торта, в котором надежно «запечены» ваши секреты. Более подробную информацию и полезный пример можно найти в нашей документации, где мы демонстрируем этот метод путем создания учетной записи пользователя в целевом образе с именем пользователя и паролем из Keeper Secrets Manager.

2. Создание образа с секретами с помощью Build Arguments

Продолжая аналогию с тортом в методе 1, этот метод похож на выпечку динамического торта; он может «позвонить домой» в хранилище и надежно извлечь нужные секреты во время выполнения.

В этом методе секреты передаются через —build-arg. Достаточно задать переменные среды с нотацией Keeper для необходимых секретов и с помощью команды ksm exec создать сборку Docker с необходимыми секретами. Более подробную информацию и еще один полезный пример можно найти в нашей документации.

3. Использование образа KSM Docker Writer

KSM Docker Writer, образ Docker общего назначения, упрощает безопасность секретов Docker, автоматически скачивая секретные файлы и создавая файл, содержащий секреты. Образ KSM Docker Writer можно извлечь, просто выполнив следующую команду CLI:

$ docker pull keeper/keeper-secrets-manager-writer

При запуске его параметры передаются через переменные среды.

$ docker run \

-v $PWD:/wd —workdir /wd \

-e «KSM_CONIFG=BASE64 CONFIG» \

-e «SECRETS=JfXpSQ2nZG6lkdl1rxB0dg/file/example.crt >

file:example.crt»

keeper/keeper-secrets-manager-writer

С помощью KSM Docker Writer, весь исходный код внутри образов Docker извлекает секреты из безопасной конечной точки API, а не из текстового файла! Каждый секрет шифруется 256-битным ключом AES, который шифруется другим ключом приложения AES-256. Клиентское устройство извлекает зашифрованные данные из облака Keeper, а секреты расшифровываются и используются локально на устройстве, а не на серверах Keeper. Кроме того, все запросы к серверу дополнительно шифруются с помощью ключа передачи AES-256 поверх TLS, чтобы предотвращать атаки типа «человек посередине» (MITM) или атак повторением. Эта многоуровневая криптография прозрачно обрабатывается с помощью наших клиентских SDK, которые легко интегрируются в любую среду.

Ярким примером использования образа KSM Docker Writer является интеграция с такими средствами комбинирования, как Kubernetes и Docker Compose. Образ KSM может извлекать секреты, необходимые во время инициализации, а затем передавать эти секреты другим контейнерам, которые зависят от них. В примере с использованием Docker Compose в нашей документации для хранения секретов используется общий том.

Используйте KSM для защиты всех секретов инфраструктуры

Значение утилиты KSM не ограничивается Docker или контейнерами. KSM защищает секреты, используемые в исходном коде, во всей ИТ-экосистеме организации, а также на серверах, конвейерах CI/CD и средах разработчиков. Кроме того, поскольку KSM является естественным расширением высокорейтингового решения Keeper для управления паролями Enterprise Password Manager (EPM), оно полностью интегрировано в Web-хранилище Keeper, приложение для настольных ПК и консоль администратора. KSM также легко интегрируется в модуль Keeper расширенной отчетности и предупреждений Advanced Reporting and Alerts (ARAM), BreachWatch, Webhooks, инструменты интеграции и соответствия SIEM.

Использование KSM вместо жесткого кодирования, переменных среды или файлов конфигурации устраняет расползание секретов, значительно снижает риски непреднамеренной компрометации секретов и хранит секреты инфраструктуры в EPM Keeper с нулевым разглашением. Это дает администраторам и персоналу DevOps такие же преимущества и контроль над секретами инфраструктуры, которые Keeper предоставляет им в отношении паролей. Сюда относятся упрощенная ротация секретов, управление доступом на основе ролей (RBAC) и интеграция с такими дополнениями, как BreachWatch, который сканирует даркнет на предмет скомпрометированных учетных данных и предупреждает ИТ-администраторов, если таковые обнаружатся.

Keeper Secrets Manager полностью управляем и использует новую запатентованную архитектуру безопасности. В отличие от конкурирующих решений для управления секретами, KSM интегрируется практически в любую среду данных, не требуя дополнительного оборудования или облачной инфраструктуры. Оно предлагает готовые интеграции с широким спектром инструментов DevOps, включая GitHub Actions, Kubernetes, Ansible и другие.

Еще не клиент Keeper? Подпишитесь на бесплатную 14-дневную пробную версию прямо сейчас! Хотите узнать больше о том, как Keeper может помочь вашему бизнесу предотвратить утечку данных? Свяжитесь с нашей командой.