Vaultの紹介

Vaultのアーキテクチャは非常に単純です。その主なコンポーネントは以下のとおりです。

秘密 ** いくつかの____secretエンジン、サポートされている秘密の種類ごとに1つ

タイプ

すべての秘密処理をVaultに委任することで、セキュリティ上の問題を軽減できます。

必要なときに破棄してください ** 私たちは短期間の秘密を使うことができます。

攻撃者が盗まれた秘密を使用できる場所」

Vaultは、ストアに書き込む前にすべてのデータを暗号化キーで暗号化します。この暗号化キーは、起動時にのみ使用されるマスターキーという別のキーで暗号化されています。

Vaultの実装における重要な点は、マスターキーをサーバーに保存しないことです。 これは、起動後にVaultでも保存されたデータにアクセスできないことを意味します。 この時点で、Vaultインスタンスは「シールされた」状態にあると言われています。

後で、マスターキーを生成してVaultインスタンスを開封するのに必要な手順を実行します。

封印が解除されると、VaultはAPI要求を受け入れる準備が整います。もちろん、これらの要求には認証が必要です。これにより、Vaultがクライアントを認証する方法と、クライアントが実行できることまたは実行できないことを決定する方法がわかります。

最初にインストールしたときに、Vaultは自動的に「ルートトークン」を生成します。

このトークンはLinuxシステムのrootスーパーユーザーと同等なので、その使用は最小限に制限する必要があります。ベストプラクティスとして、このルートトークンを使用して、特権の少ない他のトークンを作成してから取り消すようにしてください。ただし、これは問題にはなりません。後で封印解除キーを使用して別のルートトークンを生成できるためです。

Vaultは、LDAP、JWT、TLS証明書などの他の認証メカニズムもサポートしています。これらのメカニズムはすべて、基本的なトークンメカニズムの上に構築されています。Vaultがクライアントを検証すると、トークンが提供され、それを使用して他のAPIにアクセスできます。

トークンにはいくつかのプロパティが関連付けられています。主な特性は次のとおりです。

特に指示がない限り、Vaultによって作成されたトークンは親子関係を形成します。子トークンは、親トークンと同じレベル以下の特権を持つことができます。

逆のことは言えません。制限的なポリシーを使って子トークンを作成することができます（通常は作成しています）。

ここでは、ポリシーを定義するためにHCL（Hashicorpの構成言語）構文を使用しました。 Vaultはこの目的のためにJSONもサポートしていますが、私たちの例では読みやすいのでHCLを使います。

ポリシーのもう1つの重要な側面は、遅延評価を利用することです。これは、与えられたポリシーを更新することができ、すべてのトークンが即座に影響を受けることを意味します。

これまでに説明したポリシーは、アクセス制御リストポリシー、またはACLポリシーとも呼ばれます。 Vaultは、EGPポリシーとRGPポリシーの2つの追加のポリシータイプもサポートしています。これらは有料版でのみ利用可能で、https://www.vaultproject.io/docs/enterprise/sentinel/index.html[Sentinel]サポートで基本的なポリシー構文を拡張します。

利用可能であれば、これにより、ポリシーで、時刻、複数の認証要素、クライアントネットワークの発信元などの追加の属性を考慮に入れることができます。たとえば、営業時間内にのみ特定の秘密へのアクセスを許可するポリシーを定義できます。

ポリシー構文の詳細については、https://www.vaultproject.io/docs/concepts/policies.html[Vaultのドキュメント]を参照してください。

後で、同じパスを使用して同じペアを取得します。複数のペアを同じパスに格納できます。

Vaultは3種類のKey-Valueシークレットをサポートします。

バージョン ** Cubbyhole 、値がバージョン管理されていない特別なタイプのキーペア

指定された アクセストークン にスコープされています（後で詳しく説明します）。

Key-Value秘密は本質的に静的であるため、それらに関連する有効期限の概念はありません。この種の秘密の主な使用例は、APIキーなどの外部システムにアクセスするための資格情報を格納することです。

そのようなシナリオでは、資格情報の更新は半手動のプロセスであり、通常は誰かに新しい資格情報を取得し、新しい値を入力するためにVaultのコマンドラインまたはそのUIを使用する必要があります。

これらはすべて同じ使用パターンに従います。まず、関連するサービスへの接続に必要な詳細情報を使ってシークレットエンジンを構成します。

それから、1つ以上の____rolesを定義します。これは、実際の秘密の作成を表します。

データベースシークレットエンジンを例に取りましょう。まず、新しいユーザーを作成するために、管理者権限を持つ既存のユーザーからの資格情報など、すべてのユーザーデータベース接続の詳細を使用してVaultを構成する必要があります。

次に、新しいユーザーの作成に使用された実際のSQL文を含む1つ以上のロール（データベースロールではなくボールトロール）を作成します。これらには通常、ユーザー作成ステートメントだけでなく、スキーマオブジェクト（テーブル、ビューなど）へのアクセスに必要なすべての必須 grant ステートメントも含まれます。

資格情報が有効期限に達すると、Vaultはこのユーザーに関連付けられている特権を自動的に取り消します。クライアントは、これらの認証情報を更新するようにVaultに要求することもできます。更新プロセスは、特定のデータベースドライバによってサポートされ、関連するポリシーによって許可されている場合にのみ発生します。

タイプの秘密エンジンは、暗号化、復号化、署名などの暗号機能を処理します。 ** これらの操作はすべて、Vaultによって内部的に生成および保存された暗号化キーを使用します。明示的に指示がない限り、Vaultは特定の暗号化キーを公開することはありません。

関連付けられたAPIにより、クライアントはVaultのプレーンテキストデータを送信し、それを暗号化したものを受信できます。逆も可能です。暗号化されたデータを送信して元のテキストを元に戻すことができます。

現在、このタイプのエンジンは Transit エンジンのみです。

このエンジンは、RSAやECDSAなどの一般的なキータイプをサポートし、__Convergent Encryptionもサポートします。

たとえば、トランザクションログテーブル内のクレジットカード番号を暗号化するためにこのモードを使用できます。収束暗号化では、新しいトランザクションを挿入するたびに、暗号化されたクレジットカードの値が同じになるため、レポート作成、検索などに通常のSQLクエリを使用できます。

Vaultは、HCLまたはJSON形式を使用して設定ファイルを使用します。次のファイルは、ファイルストレージと自己署名証明書を使用してサーバーを起動するために必要なすべての設定を定義しています。

それでは、Vaultを起動しましょう。コマンドシェルを開き、設定ファイルを含むディレクトリに移動して次のコマンドを実行します。

Vaultが起動し、いくつかの初期化メッセージが表示されます。そのバージョン、設定の詳細、そしてAPIが利用可能なアドレスが含まれます。これで終わりです - 私たちのVaultサーバは稼働しています。

私たちのVaultサーバは現在稼働していますが、これが最初の稼働なので初期化する必要があります。

新しいシェルを開き、これを実現するために次のコマンドを実行しましょう。

ここではいくつかの環境変数を定義したので、パラメータとして毎回Vaultに渡す必要はありません。

今回の場合は、 VAULT CACERT__を使用しているので、HTTPSを使用してVaultのAPIにアクセスできます。自己署名証明書を使用しているため、これが必要です。

通常、CA署名付き証明書にアクセスできる本番環境では、これは不要です。

上記のコマンドを発行した後、私達はこのようなメッセージを見るはずです:

最初の5行は、後でVaultのストレージを開封するために使用するマスターキー共有です。 Vaultは初期化中に表示されるマスターキー共有のみを表示し、それ以上は表示されないことに注意してください。 注意して安全に保存するか、サーバーを再起動すると秘密にアクセスできなくなります。**

また、後で必要になるので、 root token にも注意してください。

開封鍵とは異なり、 ルートトークンは後で 簡単に生成することができるので、すべての設定作業が完了したらそれを破棄しても安全です。後で認証トークンを必要とするコマンドを発行するので、ここではルートトークンを環境変数に保存しましょう。

次のコマンドで初期化したので、サーバーのステータスを確認しましょう。

Vaultがまだ封印されていることがわかります。 「0/3」はVaultが3つの共有を必要としていることを意味しますが、これまでのところ何も取得していません。それでは先に進み、それを私たちの株で提供しましょう。

Vaultの封印を解除し、秘密のサービスを使い始めることができます。開封手続きを完了するには、5つの主要シェアのうち3つを提供する必要があります。

各コマンドを発行した後、金庫室は必要なシェア数を含む封印の進捗状況を印刷します。最後のキーシェアを送信すると、次のようなメッセージが表示されます。

この場合、“ Sealed”プロパティは“ false”です。つまり、Vaultはコマンドを受け入れる準備ができています。

まず、秘密のKey-Valueペアを保存して読み返しましょう。 Vaultの初期化に使用されたコマンドシェルがまだ開いていると仮定して、次のコマンドを使用してこれらのペアを secret/fakebank パスの下に格納します。

次のコマンドでいつでもこれらのペアを回復できます。

この簡単なテストは、Vaultが正常に機能していることを示しています。これでいくつかの追加機能をテストできます。

これまでは、リクエストを認証するためにルートトークンを使用してきました。ルートトークンは非常に強力であるため、より少ない特権とより短い有効期間を持つトークンを使用することがベストプラクティスと考えられています。

ルートトークンと同じように使用できる新しいトークンを作成しましょう。ただし、数分後に有効期限が切れます。

$ export VAULT TOKEN=<token value> $ vault kv get secret/fakebank ======= Data ======= Key Value --- ----- api key abc1234 api__secret 1a2b3c4d

$ vault kv get secret/fakebank Error making API request.

URL: GET https://localhost:8200/v1/sys/internal/ui/mounts/secret/fakebank Code: 403. Errors:

$ cat > sample-policy.hcl <<EOF path "secret/fakebank" { capabilities =["read"]} EOF $ export VAULT__TOKEN=<root token> $ vault policy write fakebank-ro ./sample-policy.hcl Success! Uploaded policy: fakebank-ro

$ export VAULT TOKEN=<root token> $ vault token create -policy=fakebank-ro Key Value --- ----- token <token value> token accessor <token accessor value> token duration 768h token renewable true token policies ["default" "fakebank-ro"]identity policies []policies ["default" "fakebank-ro"]----

これまでに行ったように、このトークンを使用して秘密の値を読みましょう。

ここまでは順調ですね。予想通り、データを読むことができます。この秘密を更新しようとするとどうなるかを見てみましょう。

我々のポリシーでは明示的に書き込みを許可していないため、Vaultは403 - Access Deniedステータスコードを返します。

この記事の最後の例として、動的な認証情報を作成するためにVaultのデータベースシークレットエンジンを使用しましょう。ここでは、MySQLサーバーをローカルで利用できることと、「root」権限でアクセスできると仮定します。 account という単一のテーブルで構成される非常に単純なスキーマも使用します。

このスキーマと特権ユーザーの作成に使用されたSQLスクリプトは、ここから入手できます。

それでは、このデータベースを使用するようにVaultを設定しましょう。データベースシークレットエンジンはデフォルトでは有効になっていないので、先に進む前にこれを修正する必要があります。

$ vault write database/config/mysql-fakebank \ plugin name=mysql-legacy-database-plugin \ connection url="{{username}}:{{password}}@tcp(127.0.0.1:3306)/fakebank" \ allowed__roles="** " \ username="fakebank-admin" \ password="Sup&rSecre7!"

$ vault write database/roles/fakebank-accounts-ro \ db name=mysql-fakebank \ creation statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}';GRANT SELECT ON fakebank.** TO '{{name}}'@'%';"

$ vault read database/creds/fakebank-accounts-ro Key Value --- ----- lease id database/creds/fakebank-accounts-ro/0c0a8bef-761a-2ef2-2fed-4ee4a4a076e4 lease duration 1h lease__renewable true password <password> username <username>

$ mysql -h 127.0.0.1 -u <username> -p fakebank Enter password: MySQL[fakebank]> select ** from account; …​ omitted for brevity 2 rows in set (0.00 sec) MySQL[fakebank]> delete from account; ERROR 1142 (42000): DELETE command denied to user 'v-fake-9xoSKPkj1'@'localhost' for table 'account'