Performance de Percona XtraDB Cluster / Galera Cluster: Monitoring & Gestion ...
Die SlideShare-Präsentation wird heruntergeladen.
×
Hier ansehen
Weitere Verwandte Inhalte
Diashows für Sie (20)
Ähnlich wie Meetup vault - ScaaS Secrets as a Service (20)
Weitere von Frederic Leger (9)
Aktuellste (20)
Meetup vault - ScaaS Secrets as a Service
- 1. Vault Secrets as a Service framework
- 2. Gestion des secrets dans une architecture “tradi” ● Les devs/admins configurent les applications avec les secrets ● Ou pire ils sont dans le repo de code :-) ● Où sont ils stockés ? ○ dans ma tête ○ fichier local non commité ○ code / repo ○ keepass + dropbox ○ lastpass / 1password ● Que ce passe t’il quand ? ○ un secret est compromis ○ un employé quitte la société ○ la politique de sécurité prévoit de changer tous les mot de passe tous les 2 mois ?
- 3. Puis il arrive... L’audit de sécurité du partenaire !!!
- 4. Vault à la rescousse
- 5. Vault vue d’avion ● Solution permettant de gérer les secrets et de protéger les datas de manière centralisée dans une infrastructure dynamique ○ Résilient ○ Scalable ○ Secure ● Basé sur un système d’APIs ● Supporte les plugins
- 6. Key Features ● Sécurité des secrets et data ● Rotation des clés ● Déverrouillage par saisies de plusieurs clés (3 par défaut) ● Support des policies ● Support des TTLs ● Secrets dynamiques ● UI (à partir de la 1.10)
- 7. Quelques use-cases sympas ● Stocker ses mot de passe qui sont ensuite récupérés par ansible ● Obtenir un user/pass mysql valide 1H uniquement ● Déverrouiller vault uniquement pendant les créneaux autorisés de MEP 💖💖 ● Générer un jeu de clé AWS par user et app automatiquement
- 8. Composants
- 9. Secrets Engines ● Liste de backends pour lesquels vault sait créer / stocker / mettre à jour des secrets ou data
- 10. Secrets Engines - Active Directory - AliCloud - AWS - Azure - Consul - Cubbyhole - Databases - Google Cloud - Google Cloud KMS - KMIP (version ENTERPRISE) - Key/Value - Identity - Nomad - PKI (Certificates) - RabbitMQ - SSH - TOTP - Transit
- 11. Storage Backends ● Liste des backend ou Vault peut stocker ces datas et sa config ● Certains permettent le mode HA d’autres non
- 12. Storage Backends ● Azure ● Cassandra ● CockroachDB ● Consul ● CouchDB ● DynamoDB ● Etcd ● Filesystem ● FoundationDB ● Google Cloud Spanner ● Google Cloud Storage ● In-Memory ● Manta ● MSSQL ● MySQL ● OCI Object Storage ● PostgreSQL ● Raft ● S3 ● Swift ● Zookeeper
- 13. Auth Methods ● Backend d’authentification que va supporter vault pour authentifier les accès aux secrets
- 14. Auth Methods ● AppRole ● AliCloud ● AWS ● Azure ● Cloud Foundry ● Google Cloud ● JWT/OIDC ● Kubernetes ● GitHub ● LDAP ● Oracle Cloud Infrastructure ● Okta ● RADIUS ● TLS Certificates ● Tokens ● Username & Password
- 15. Audit Devices ● Destination (optionnelle) des informations d’audit où Vault envoie des logs d’audit ● /! Contient des informations sensibles /! ● File ● Syslog ● Socket
- 16. Vault Plugins ● Supporte des plugins groupé en 3 catégories : auth, secret, database ● Écrits en Go avec un SDK ● On peut donc écrire le sien !
- 17. Déploiement ● Plusieurs options ○ from source ○ binaire en local ○ image docker ○ chart helm ○ k8s operator ● HA ou pas ● Choix du backend de stockage ● Choix du / des backends d’authentification ● Activation de l’audit ou pas ● Ecriture des rôles et policy ● Activation et configuration des plugins
- 18. Demo #1 - local
- 19. Demo #2 - kubernetes & vault-agent
- 20. Questions ???
- 21. twitter.com/@webofmars ibd.sh/openbar wmars.xyz/youtube
- 22. Kahoot https://kahoot.it ou application kahoot!
