Este é o primeiro post de uma série sobre o Hashicorp Vault. Confira os próximos posts nos links abaixo.

• Instalando o Hashicorp Vault no Kubernetes (GKE) usando o Helm e configurando um bucket GCS para armazenamento
• Export/Import de dados entre 2 Vault utilizando o Medusa

Obrigado Filipe Maia, André Luis Soares e Kleberson Sartori pelo apoio no dia a dia e compartilhamento do conhecimento com o Vault.

O que é o Hashicorp Vault?

O Vault é uma ferramenta de gerenciamento de segredos que permite armazenar, acessar e controlar informações confidenciais, como senhas, tokens de API, certificados e chaves criptográficas. Ele foi projetado para funcionar em ambientes dinâmicos, como nuvens públicas e privadas, e fornecer um nível elevado de segurança para todos os tipos de dados sensíveis.

Ao invés de armazenar segredos em arquivos de configuração ou em variáveis de ambiente, o Vault oferece um repositório centralizado e seguro, com controles rígidos de acesso e auditoria.

Não é uma solução nova e existem vários softwares alternativos, inclusive serviços gerenciados nas principais clouds públicas. Mas o Vault tem a vantagem de ser uma solução com o código fonte aberto, muito popular (tem muitas pessoas e empresas que usam e pode ajudar com suporte nas comunidades), é gratuito e pode ser instalado em ambientes on-premisse, na cloud e também no Kubernetes.

Links úteis sobre o Vault:

• https://github.com/hashicorp/vault
• https://www.hashicorp.com/products/vault
• https://www.vaultproject.io/
• https://developer.hashicorp.com/vault/docs
• https://developer.hashicorp.com/certifications/security-automation

Principais características

1. Armazenamento seguro de segredos: permite que segredos sejam armazenados de forma segura, usando criptografia forte. Ele também suporta a rotação automática de segredos, eliminando o risco de uso de senhas estáticas.
2. Controle de acesso baseado em políticas: implementa um rigoroso sistema de controle de acesso baseado em políticas (RBAC – Role-Based Access Control), permitindo que os administradores definam exatamente quem pode acessar quais segredos, e em quais circunstâncias.
3. Autenticação e autorização integradas: suporta uma ampla variedade de mecanismos de autenticação, como LDAP, GitHub, tokens do AWS IAM, Kubernetes, entre outros, garantindo que somente usuários e sistemas autorizados tenham acesso aos segredos.
4. Criptografia como serviço: além de armazenar segredos, o Vault oferece Criptografia como Serviço (EaaS), permitindo que as aplicações utilizem suas APIs para criptografar e descriptografar dados sem jamais expor as chaves criptográficas.
5. Auditoria centralizada: todas as interações com o Vault são registradas em logs de auditoria. Isso permite a rastreabilidade de quem acessou quais segredos e quando, o que é crucial para compliance e investigação de incidentes.
6. Escalabilidade: é projetado para ambientes dinâmicos e complexos, como nuvens públicas e privadas, podendo ser integrado facilmente a qualquer arquitetura moderna.
7. Automação e CI/CD: em ambientes onde a automação é a chave, o Vault se integra aos pipelines de CI/CD, permitindo que as credenciais sejam gerenciadas e rotacionadas de forma segura durante a automação de processos.

Como funciona?

O Vault opera em um modelo de cliente/servidor. O servidor Vault centraliza o armazenamento e o gerenciamento dos segredos, enquanto o cliente Vault interage com o servidor por meio de APIs, CLI ou integrando-se diretamente nas aplicações.

O fluxo básico de uso do Vault é:

1. O cliente se autentica com o Vault usando um dos métodos suportados (token, GitHub, LDAP, etc.).
2. Com a autenticação bem-sucedida, o cliente recebe um token temporário que permite o acesso aos segredos conforme as permissões definidas.
3. O cliente pode então solicitar, criar, atualizar ou deletar segredos no Vault, conforme suas permissões.

Conclusão

O HashiCorp Vault é uma ferramenta com muitas funcionalidades, capaz de atender as necessidades de ambientes com diferentes níveis de complexidade no que se refere ao gerenciamento de configuração e segredos. Sua ampla gama de recursos, como controle de acesso, criptografia como serviço e auditoria centralizada, fazem dele uma solução essencial para quem busca melhorar a segurança no compartilhamento e armazenamento de informações sensíveis com microsserviços em pequena ou larga escala.

Este é o primeiro post de uma série sobre o Hashicorp Vault. Confira os próximos posts nos links abaixo.

• Instalando o Hashicorp Vault no Kubernetes (GKE) usando o Helm e configurando um bucket GCS para armazenamento
• Export/Import de dados entre 2 Vault utilizando o Medusa