🔐 Comment gérer les secrets avec l'Infrastructure as Code | Radio DevOps #24

:thinking: Quand on fait de l’infrastructure as code on se demande toujours quoi faire des données sensible !

Comment est-ce que l’on gère ces secrets ?
Est-ce qu’on les met dans git ?
Est-ce que l’on utilise une base de donnée dédié ?
Quels outils peut-on utiliser ?

Cet épisode est là pour t’aider à te poser les bonnes questions on va y partager nos tips et bonnes pratiques.

Je suis avec @DamyR , @nledez et @Uggla.

Et-toi quels sont tes tips et bonnes pratiques ?

3 « J'aime »

Ce sujet a été automatiquement ouvert après 14 heures.

J’ai utilisé un keepass partagé (équipe de 4) via nextcloud, c’était pas mal mais il faut dans ce cas un client keepass qui supporte la synchro de coffre fort. Le gros point négatif est que lorsqu’un membre de l’équipe s’en va, il faut renouveler tous les secrets qu’il contient.

Je suis passé a un keepass individuel dans mon job actuel par ce que la boite le demande et honnêtement vu la quantités d’accès à gérer c’est impossible sans ce type d’outils. J’ai fais la bascule vers keepass aussi a titre personnel.
Il y a plusieurs clients “compatible keepass”, tous ne semble pas ce valoir et notre équipe SOC n’a validé que KeePassX.
Il existe un paquet Python qui permet aux scripts d’accéder a des coffres fort keepass, j’aimerai bien essayer ça a l’occasion:

J’ai découvert pass pour un projet pro. J’aime bien l’idée d’un outil reposant sur git et GPG, mais la courbe d’apprentissage et sa mise en place est quand même velue. Dans notre contexte d’un usage ponctuel, ça n’a pas vraiment convaincu l’équipe.

2 « J'aime »

Effectivement pour tout ce qui est secret une base keypass partagée est idéale. Nous avons cela pour les passwords, clés, passphrases, certificats etc. Et la lib python pykeepass permet de scripter pour l’enrichir, la consulter, modifier etc. Comme client j’utilise KeepassXC qui synchonise automatiquement à chaque modification et est aussi disponibble sur Android. Il y a aussi un plugin Firefox qui permet de ne plus mémoriser aucun password ! :wink:

Par contre pour tout ce qui est secret sur des serveurs/services que l’on déploie avec ansible le plus simple… est d’utiliser Ansible Vault, même si des services séparés sont également possible vault est intégré, hyper facile à utiliser, et permet de gérer les versions de tous les changements. Tous les passwords, certificats, tokens VCS ou CI, etc. sont dans des Ansible Vaults et le vault_password est… dans le keypass ! :wink:

1 « J'aime »