Qu’est-ce que HashiCorp Vault ?
HashiCorp Vault est un outil qui vous permet de gérer vos secrets en toute sécurité. Par secrets, nous entendons des informations sensibles telles que des certificats numériques, des identifiants de base de données, des mots de passe et des clés de chiffrement d’API. HashiCorp Vault vous permet de stocker ces secrets, puis d’authentifier, de valider et d’autoriser l’accès aux clients et aux utilisateurs.La question la plus logique que l’on puisse se poser est la suivante : « Mais pourquoi aurais-je besoin d’un tel service de cryptage ? Ne s’agit-il pas en fait d’échanger une clé contre une autre ? Et si le coffre-fort est compromis, un pirate n’aura-t-il pas accès à toutes les informations d’identification que je stocke ?”
Pourquoi avons-nous besoin de systèmes centralisés de gestion des clés ?
- Une infrastructure complexe
Le besoin de systèmes sophistiqués de gestion du cryptage est apparu lorsque les entreprises ont commencé à transférer une partie ou la totalité de leur infrastructure vers le cloud. L’évolution vers des infrastructures plus partagées et distribuées, orientées vers les services, a également augmenté les besoins en matière d’orchestration, d’automatisation et d’intégration. De plus, nos applications et microservices modernes communiqueront souvent avec des API ou des services en dehors du centre de données d’une organisation.
Comme l’explique le site Web de Vault, « la plupart des entreprises ont aujourd’hui des informations d’identification disséminées au sein de leur organisation. … Étant donné que ces informations d’identification sont omniprésentes, il peut être difficile et décourageant de savoir qui a accès à quoi et quelles autorisations sont accordées.
Les charges de travail sont également devenues « de plus en plus éphémères et de courte durée » et, par conséquent, « les informations d’identification statiques de longue durée constituent un important vecteur de menace pour la sécurité« .
Tous ces facteurs et bien d’autres rendent la protection des clés numériques délicate. Il devient difficile de couvrir toutes les bases d’un point de vue de la sécurité.
- Vers une meilleure sécurité et conformité
Actuellement, il ne suffit plus de mettre en place des contrôles stricts au nom de la prévention. Il s’agit également de l’efficacité avec laquelle votre entreprise peut surveiller et de la rapidité avec laquelle elle peut détecter les violations, afin d’y remédier. Les bons outils, configurés en fonction de votre organisation, peuvent vous aider. En effet, lorsqu’il s’agit de coder des clés, HashiCorp Vault est un excellent choix.
HashiCorp Vault est open source, auto-hébergé et compatible avec le cloud. Il a été spécialement conçu pour rendre le stockage, la génération, le cryptage et la transmission de secrets beaucoup plus sûrs et simples, sans ajouter de nouvelles vulnérabilités ni étendre la surface d’attaque. En effet, il réduit la surface d’attaque et, grâce à la traçabilité intégrée, facilite l’analyse forensique en cas de compromission.
Fonctionnalités et avantages : Que puis-je faire avec HashiCorp Vault ?
En termes très généraux, les cas d’utilisation de Vault comprennent (1) le stockage de secrets généraux sous la forme de secrets statiques et dynamiques, (2) le cryptage de données, (3) l’accès basé sur l’identité et (4) la gestion de clés.
Voyons maintenant quelques-unes des principales fonctionnalités de Vault.
- Vault peut stocker arbitrairement des secrets de type clé/valeur. Il crypte ces informations avant de les stocker. Cela protège la version du texte brut et signifie que l’accès au stockage n’expose pas réellement les secrets.
- Vault fournit le cryptage en tant que service. Grâce à son moteur de secrets « en transit », Vault peut traiter des fonctions cryptographiques sur des données en transit, sans les stocker. Il s’agit essentiellement du chiffrement en tant que service, Vault jouant le rôle d’intermédiaire. Ainsi, Vault est responsable du cryptage/décryptage à la place des développeurs de votre application, et vous pouvez ensuite écrire ces données cryptées à un autre emplacement, comme dans une base de données SQL. Cela est très utile dans les cas où, par exemple, une application web traite des données sensibles sur les clients (comme des informations sur les cartes de crédit) et est soutenue par une base de données.
- Vault peut créer des secrets dynamiques. C’est là que HashiCorp Vault se différencie des autres systèmes de stockage de clés cryptées. En effet, il peut générer des secrets dynamiques, c’est-à-dire des secrets « à la demande ».
Voici ce que cela signifie.
Un secret dynamique n’est créé que s’ il est lu. Il sera unique pour un client et l’identifiant sera automatiquement détruit à l’expiration du bail (par exemple, un mois, trois jours, une heure : ce que vous avez configuré).
Vous pouvez également faire en sorte que le secret dynamique soit révoqué juste après son utilisation. L’avantage est, dans ce cas, que vous pouvez réduire la durée de vie de cet identifiant au seul moment où il est utilisé.
La possibilité de générer des secrets à la demande ou « à la volée » est utile parce qu’elle vous offre une sécurité dans un domaine qui est particulièrement connu pour ses fuites de secrets de toutes sortes : les applications.
En effet, les applications laissent souvent des secrets dans les fichiers journaux ou les systèmes de journalisation.
Les secrets peuvent également être « capturés dans les traces d’exception ou les rapports de panne envoyés à des systèmes de surveillance externes » ou sont « divulgués via des endpoints de débogage et des pages de diagnostic après avoir rencontré une erreur », explique Armon Dadgar, cofondateur de HashiCorp. La liste des vulnérabilités potentielles est longue.
La création dynamique de secrets élimine le problème des nombreux clients/utilisateurs qui partagent le même identifiant. Elle vous permet également d’effectuer une rotation manuelle de ces informations d’identification ou de mettre en place une rotation automatique des informations d’identification. La mise en place d’une rotation automatique des informations d’identification facilite le respect des exigences réglementaires ou de conformité.
- Vault prend en charge la révocation des secrets. Il vous permet de révoquer des secrets avant l’expiration du bail et vous permet d’être précis. Qu’il s’agisse de révoquer des secrets individuels ou une « arborescence de secrets » (regroupés par utilisateur, type, application, etc.), Vault dispose d’une prise en charge intégrée de la révocation.
Ainsi, cela facilite le roulement des clés. Et comme vous pouvez obtenir une granularité, cela vous permet de réagir efficacement à une brèche tout en réduisant, voire en éliminant, les temps d’arrêt.
- Vault tient un registre détaillé de toutes les demandes et réponses. Avec Vault, chaque demande et réponse, chaque processus, est examiné et authentifié. Cela signifie que vous pouvez tout tracer. Selon Vault, chaque opération « est une requête/réponse API, … le journal d’audit contient chaque interaction authentifiée avec Vault, y compris les erreurs ».
De plus, vous pouvez activer des « dispositifs d’audit multiples » au lieu d’un dispositif d’audit unique dans Vault. Ainsi, vous pouvez disposer de copies dupliquées et, plus important encore, vous êtes en mesure de « vérifier la falsification des données dans les journaux eux-mêmes ».
Les pistes d’audit sont essentielles pour répondre aux exigences de conformité dans les secteurs hautement réglementés.
Comment HashiCorp Vault s’intègre-t-il aux fournisseurs et aux plateformes ?
HashiCorp Vault est une solution « cloud agnostic ». Vous pouvez utiliser ses Secrets Engines sur différentes plateformes du Cloud, notamment AWS, Azure et Google Cloud. Vous pouvez donc l’intégrer aux workflows existants.
HashiCorp possède également sa propre plateforme sur le Cloud, qui propose Vault en tant que service.
Les méthodes d’autorisation et les Secrets Engines de Vault sont considérés comme des plugins, ce qui en fait un outil polyvalent.
Vault propose diverses fonctionnalités de base de données que vous pouvez déployer sur Cassandra, Couchbase, Elasticsearch, MongoDB et MongoDB Atlas, MSSQL, MySQL, Oracle, Snowlake, etc. Le site web de Vault présente un tableau détaillé des capacités de la base de données.
Vous pouvez également utiliser Vault sur GitHub, Kubernetes, le fournisseur Microsoft SQL Server EKM et ServiceNow.
Quelles sont les grandes entreprises qui utilisent HashiCorp Vault ?
HashiCorp Vault a résolu les problèmes de cryptage et de stockage de secrets pour de nombreuses entreprises, telles que:
- Intel
- Ubisoft
- Adobe
- Starbucks
- Bank of America
- Citigroup
- Q2
- Wayfair
- eBay
- Autodesk
Depuis que les identifiants numériques sont un élément essentiel de l’interaction avec le monde numérique, on peut imaginer que Vault est utilisé dans tous les secteurs, du gaming au e-commerce, en passant par l’éducation et la banque.
Starbucks utilise Vault
À titre d’exemple, Starbucks a utilisé Vault pour relever les défis uniques de son environnement périphérique (qui utilise un réseau de centres de données placés dans des hubs pour réduire la latence pour les utilisateurs finaux) – un type d’informatique complexe commun pour la vente au détail à grande échelle.
Dans une étude de cas vidéo, Andrew McCormick, ingénieur système en chef chez Starbucks, explique : « Nous sommes allés jusqu’au bout avec Terraform et Helm pour tout mettre en œuvre sous forme de code, de l’infrastructure et du réseau jusqu’à la politique Vault et l’identité. » C’était la première plateforme à grande échelle qu’ils avaient construite, et ils l’ont réalisée avec le logiciel d’infrastructure en tant que code de HashiCorp Terraform sur Kubernetes.
Dans la vidéo, M. McCormick explique que les deux fonctionnalités de Vault Enterprise qui étaient « essentielles pour la résilience et l’évolutivité », sont la réplique des performances et les clusters de reprise après sinistre. « Les clusters de répliques de Vault ont constitué un aspect important de notre conception de l’évolutivité pour trois raisons principales : (1) ils fournissent un cluster en lecture seule auquel les périphériques peuvent se connecter sans exposer le cluster principal de Vault, (2) ils assurent l’évolutivité horizontale et la répartition régionale de la charge, et (3) le filtrage de la réplication permet d’isoler physiquement les occupants. »
En conclusion, HashiCorp Vault, en tant qu’outil de gestion des secrets, peut réduire la complexité opérationnelle pour les entreprises qui travaillent avec une architecture orchestrée et opèrent à travers plusieurs fournisseurs de cloud.
En savoir plus sur HashiCorp Vault ?
Cet article fait partie d’une série plus vaste centrée sur les technologies et les thèmes abordés dans la première édition du TechRadar de Devoteam. Pour savoir ce que notre communauté de leaders technologiques a exprimé au sujet de la position actuelle de HashiCorp Vault sur le marché, téléchargez l’édition la plus récente du TechRadar de Devoteam.
Envie d’en savoir plus sur HashiCorp Vault ?
Consultez notre TechRadar pour savoir ce que nos experts pensent de sa viabilité sur le marché.