La Key/Value Secrets Engine è parte integrante di quasi ogni implementazione di Vault. Costituisce la base per la memorizzazione sicura di secrets statici ed è, nella pratica, utilizzata molto più frequentemente rispetto a molte engine dinamiche.
Dopo l’introduzione teorica nella parte 2a, in questo articolo ci dedichiamo al lavoro concreto con la KV Engine. Mostriamo come scrivere, leggere, aggiornare e cancellare secrets, analizzando in modo pratico le differenze tra la versione 1 e la versione 2 di KV. Il focus è sui comandi rilevanti per la produzione, sugli ostacoli realistici e su raccomandazioni concrete per l’operatività quotidiana, motivo per cui vi trasmetto queste conoscenze come una combinazione di tutorial e cheat-sheet.
Leggi tutto: HashiCorp Vault Deep Dive – Parte 2b: Lavoro pratico con la Key/Value Secrets Engine
Nonostante un'attenta minimizzazione del blast radius, la segmentazione degli state e l’uso di lifecycle guardrails, può prima o poi succedere: un terraform apply elimina per errore risorse produttive - oppure un terraform destroy colpisce più di quanto previsto.
Cosa fare quando il danno è ormai fatto?
Nell’ultimo articolo di questa serie ho spiegato come minimizzare il blast radius. In questa continuazione mostro tecniche comprovate per il ripristino di Terraform State danneggiati e per la limitazione dei danni dopo un incidente.
Leggi tutto: Terraform @Scale - Parte 3b: Strategie di recupero dal Blast Radius
Dopo aver già ottenuto nel primo capitolo una panoramica approfondita dell’intero ecosistema delle Secrets Engines, ci immergiamo ora nella quotidianità di ogni cluster Vault. La Key / Value (KV) Secrets Engine è il cavallo di battaglia per tutte le situazioni in cui è necessario archiviare in modo sicuro dei segreti, versionarli e recuperarli successivamente in maniera mirata.
Leggi tutto: HashiCorp Vault Deep Dive - Parte 2a: Attivare la Key/Value Secrets Engine
🔥 Un solo terraform destroy - e all’improvviso 15 sistemi clienti sono offline 🔥
Il "distruttore del venerdì pomeriggio" ha colpito di nuovo.
In questo articolo in due parti analizziamo uno dei più grandi problemi strutturali dell’infrastruttura, ma anche uno dei rischi più sottovalutati dell’Infrastructure-as-Code dal punto di vista del management. Infatti aiutiamo le aziende a ridurre sistematicamente i rischi legati al Blast Radius.
Perché la migliore esplosione è quella che non avviene affatto.
Leggi tutto: Terraform @ Scale - Parte 3a: Gestione del Blast Radius
Le Secrets Engines sono il cuore di Vault - permettono di concepire la sicurezza non solo come questione di archiviazione, ma come un processo. Che si tratti di password di database, accesso SSH o firma JWT: tutto può essere gestito in modo dinamico, sicuro e tracciabile - a patto di conoscere le giuste Engines e di utilizzarle correttamente. La chiave non sta tanto nella varietà, quanto nella comprensione e nel design. Chi desidera utilizzare Vault in modo produttivo non può prescindere da una profonda comprensione delle Secrets Engines.
Questo articolo offre una panoramica approfondita su funzione, possibilità d’impiego e ciclo di vita delle Secrets Engines - dai moduli generici come KV, Transit o PKI fino ai moduli specializzati per Cloud e piattaforme database.
Leggi tutto: HashiCorp Vault Deep Dive - Parte 1: Fondamenti delle Secrets Engines
Altri articoli …
- Terraform @ Scale - Parte 2: L’arte della dimensione ottimale dello State
- Terraform @ Scale - Parte 1e: Scalabilità oltre i confini organizzativi
- Rischi IT sotto controllo – prima che si verifichi il peggio per la vostra azienda
- Terraform @ Scale - Parte 1d: Insidie e best practice in ambienti multi-tenant