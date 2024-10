Outre Terraform, l’autre gros volet pour HashiCorp, c’est la gestion du cycle de vie de la sécurité (SLM). Chez l’éditeur, il est incarné par Vault, à la fois un système de la gestion du chiffrement et un coffre-fort à secrets (tokens d’API, mots de passe, certificats, accès à une base de données, etc.). L’éditeur entend étoffer la version SaaS de son produit : HCP Vault Secrets.

Orchestrer la rotation automatique des secrets D’abord, il y a la disponibilité générale de la rotation automatique des secrets et les sets d’accréditations pour les clients de HCP Vault Secrets Plus. Celle-ci est fonction de « schémas », des fichiers de configuration qui incluent des informations sur l’intégration et le provider, c’est-à-dire le fournisseur du service concerné par la rotation. Par défaut, HashiCorp a mis en place des règles de rotation tous les 30, 60 ou 90 jours. Mais la rotation n’implique pas la désactivation du précédent secret, en tout cas pas immédiatement. « Lorsqu’une rotation se produit, une nouvelle accréditation est stockée en tant que dernière version active du secret », précise la documentation de l’éditeur. « Dans le même temps, une version plus ancienne (N – 2) du secret devient inactive. Le jeu d’identifiants précédent reste disponible jusqu’au prochain intervalle de rotation ». En clair, quand la version 2 d’un secret est changée, elle n’est plus active après la disponibilité de la version 4. « Cela garantit à l’utilisateur que le justificatif d’identité peut être utilisé en toute sécurité pendant au moins la fréquence de rotation définie », assure l’éditeur. Il est également possible de changer la clé immédiatement en cas de fuite ou de soupçon de fuite, après un redémarrage de l’application associée. Dans ce cas-là, la version précédente du secret est supprimée. Cela annule également l’intervalle de rotation qui est réactivé à partir de la date de rotation manuelle. Pour l’instant, cette fonctionnalité a une portée limitée : elle prend en charge AWS, GCP, MongoDB Atlas et Twilio.

Secrets dynamiques La rotation automatique des secrets ne répond pas à tous les besoins. Ce mécanisme n’est pas adapté à l’exécution de tâches éphémères, comme une session de dépannage ou l’exécution d’un pipeline CI/CD, explique James Bayer, SVP Research & Development chez HashiCorp. Pour ces usages, l’éditeur entend proposer une fonction de « secrets ou d’accréditation dynamiques ». « Si vous ne l’utilisez que pour la build de votre CI/CD, dès que cette étape est terminée, le secret peut être supprimé, car il ne sera plus utile », indique-t-il. Il s’agit de minimiser la surface d’attaque, de simplifier la gestion des secrets et de les rendre traçables. Dans sa documentation, HashiCorp précise que dès qu’un flux de travail a une durée de vie préétablie, la fonctionnalité est utile. Il donne l’exemple de l’exécution d’un run Terraform ou l’appel d’un service serverless. Les secrets dynamiques demandent d’ajouter un paramètre de durée de vie (Time To live ou TTL) dans le fichier de configuration. En bêta, la gestion des secrets dynamiques n’est compatible qu’avec les IAM de GCP et d’AWS. HashiCorp ne précise pas la durée de vie minimum d’un secret. Il ne fournit pas non plus de SLA. Au moment de présenter la fonctionnalité, Armon Dadgar, cofondateur et CTO d’HashiCorp a évoqué une durée d’expiration de 30 minutes. Avant que Hashicorp ne lance ce service, l’équipe responsable de la sécurité de Canva a déployé des secrets dynamiques pour des applications tierces – ici les agents de Datadog – s’exécutant au sein de ses clusters Kubernetes à l’aide du Vault Secret Operator. Dans cette configuration, Anthony Ralston, ingénieur logiciel chez Canva, explique que son équipe pouvait subir des pertes de connectivités avec Vault d’environ 15 minutes qui interrompait le fonctionnement du système. En prenant en considération cet aspect, l’équipe a allongé de 16 à 24 heures la durée de vie d’un secret. « Lors de la configuration de vos TTLS pour les cas d’usage de secrets dynamiques, il est très important de faire les calculs et de comprendre la relation entre tous les jetons, la durée de vie configurée dans le fichier de métadonnées “leases” et les indications de fiabilité », souligne Anthony Ralston. Enfin, la gestion fine des RBAC, apparu avec HCP Vault Secrets a été étendu aux projets et aux applications afin de définir qui a accès et qui n’a pas accès aux secrets et accréditations.