Blog | WeScale

Gestion de vos secrets : Chut, ne le dites à personne !

Rédigé par WeScale | 02/04/2024

La sécurité, le stockage et le contrôle des secrets s’imposent aux DSI qui doivent être sur tous les fronts ! Sécuriser les applications et services, tirer parti d'un modèle d'exploitation cloud pour mieux maîtriser leurs coûts, réduire les risques et augmenter la vitesse à laquelle les développeurs créent et déploient des applications sécurisées… Décidément, être DSI en 2024 ne sera pas de tout repos ! 

En matière de sécurité, force est de constater que mots de passe, certificats, clés d’API, tokens, répertoires GitLab ou GitHub passent dans les mains des développeurs, avec plus ou moins de confidentialité. Nombreuses sont les organisations à voir les secrets de leur infrastructure se disperser en de multiples endroits, entre différents services et différentes équipes. Et au fur et à mesure du développement de ces entités, la visibilité et la maîtrise des administrateurs informatiques se fragilisent et le risque de prolifération des secrets, lui, à l’inverse, augmente devant des équipes informatiques et DevOps impuissantes. Selon l'étude Global Encryption Trends Study de 2021 du Ponemon Institute, 28 % des entreprises utilisent des solutions de gestion des secrets alors même que les SI n’ont jamais autant été exposés aux menaces en matière de cybercriminalité. Pour exemple, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) recense plus de 330 000 attaques réussies contre les PME recensées en 2023.

Pour les DSI, l’enjeu en matière de gestion des secrets est d’appliquer un ensemble de workflows robustes qui soient utilisables facilement et couvrent de nombreux cas d’usages. WeScale propose un éclairage sur les bonnes pratiques et revient sur la solution Vault de HashiCorp qui apporte une des meilleures réponses aux organisations qui souhaitent se prémunir contre la prolifération des secrets. Centralisation de la gestion des secrets, granularité des accès, traçabilité et sécurité des données, gestion de clés et facilité d’intégration dans les systèmes existants, en font une solution complète et sérieuse. 

Une solution clé en main

HashiCorp Vault est un outil Open Source, dont la première release remonte à avril 2015. Déployable on-premise en version communautaire ou Open Source, ou utilisable en service managé via Hashicorp Cloud Platform, Vault fonctionne comme un coffre-fort qui permet de sécuriser, stocker et contrôler étroitement l’accès : 

  • aux tokens, 
  • aux access/secret keys temporaires pour les rôles sur les principaux Cloud Public (AWS, Azure, GCP), 
  • aux identifiants de base de données, 
  • aux clefs SSH,

et bien d’autres données sensibles à l’aide d’une architecture client-serveur via une API REST pour que le client puisse y accéder.

Pour assurer une parfaite confidentialité et réduire les risques liés à une exposition prolongée, HashiCorp Vault utilise des méthodes de chiffrement avancées pour protéger les informations sensibles avec des mécanismes de rotation automatique des secrets.

Une gestion centralisée

En tant que point central pour les accès aux secrets, HashiCorp Vault introduit la notion d’identité qui s’applique tant à des personnes qu’à des applications. La force de Vault est sa capacité à supporter de nombreuses méthodes d’authentification (via un provider OIDC/JWT, LDAP, AWS, GCP, Azure, Github, Username/Mot de passe, Kubernetes, Certificats TLS).

Une fois authentifiée, une identité reçoit des autorisations en fonction de politiques d'accès fines. La granularité des accès évite les failles de sécurité potentielles et garantit que seules les personnes autorisées accèdent aux informations critiques, renforçant ainsi la sécurité tout en facilitant la collaboration.

Audit et Traçabilité

Vault de HashiCorp offre une fonctionnalité robuste d'audit qui enregistre chaque interaction, assurant une traçabilité complète des activités liées aux secrets. Cette transparence renforce la conformité réglementaire, facilite la détection rapide des anomalies, et permet des investigations approfondies en cas d'incident de sécurité.

La gestion des secrets statiques

Les équipes ont souvent recours à des secrets statiques, qu’elles doivent créer elles-mêmes et supprimer manuellement une fois inutiles. Vault sécurise le stockage des secrets statiques en s’appuyant sur un backend de stockage et encrypte les données avant de les stocker en utilisant l’algorithme AES256 GCM. L’accès aux secrets statiques est sécurisé par les mécanismes d'authentification et autorisations mentionnés précédemment.

Une solution de rotation de secrets peut être facilement automatisée en s’appuyant sur l’API de Vault.

La gestion des secrets dynamiques

Que faire si un secret statique a été exposé ? Les procédures de renouvellement manuelles étant souvent longues à déclencher et fastidieuses à réaliser, l’usage de secrets statiques est à prohiber.

Vault de HashiCorp répond à ce besoin avec les secrets dynamiques créés à la demande, et supprimés automatiquement après un temps imparti. Par exemple, lorsqu’un utilisateur ou un composant applicatif demande un accès temporaire à une base de données à Vault, celui-ci se connecte à la base de données, puis crée un utilisateur avec un mot de passe généré automatiquement, et enfin le fournit au client demandant l’accès. Le secret généré possède une date d’expiration. Lorsqu’elle est atteinte, Vault se connecte à la base de données et supprime l’utilisateur en question. De nombreux systèmes de bases de données SQL comme NoSQL sont supportés, rendant caduque le besoin de rotation de secrets statiques. En complément des bases de données, Vault propose des moteurs de secrets pour les services IAM des principaux Clouders AWS/GCP/Azure.

Autre atout de Vault, sa capacité à proposer une infrastructure à clé publique (PKI) intégrée, simplifiant la création, la distribution, et la révocation des certificats. Cela renforce la sécurité des échanges et facilite la gestion des identités numériques, contribuant ainsi à la protection globale des données.

Premier pas vers le Zero Trust

Les architectures actuelles reposent de plus en plus sur des échanges entre systèmes différents au travers d’Internet. La sécurité périmétrique est donc de facto vouée à disparaître, remettant en cause les postures de sécurité.  Le marché présente l’approche “Zero trust” où tout accès est authentifié avant d’être autorisé est sexy sur le papier, mais force est de constater que les implémentations techniques sont encore très rares.

Vault est la première brique à déployer dans une démarche “Zero trust“. Ses fonctionnalités  vont au-delà du simple coffre-fort de secrets statiques. Les moteurs de secrets dynamiques s’appliquent aux Clouders et bases de données, mais aussi aux infrastructures LDAP, SSH et certificats générés sur la PKI de Vault, permettent de définir de manière centrale des politiques d'autorisations aux secrets, aux identités externes mais aussi aux flux humain/machine et machine/machine, contribuant ainsi à la protection globale des données.

Conclusion

La cybersécurité exige une approche proactive et holistique, et la gestion des secrets joue un rôle central dans cette stratégie. Vault de HashiCorp est une alternative sérieuse qui apporte des réponses aux enjeux de centralisation, de granularité, d’audit, de sécurité des données, de PKI, et d'intégration. De plus, Vault de HashiCorp s'intègre facilement dans la plupart des environnements technologiques et offre des connecteurs prédéfinis pour les applications les plus populaires. Cette flexibilité garantit une mise en œuvre rapide sans perturber les opérations existantes. 

Les contextes dans lesquels Vault a sa place sont nombreux. En premier lieu dans un data center on-premise ou cloud hybride pour bénéficier d’une sécurisation de secrets homogène. L’utilisation d’un cloud public unique se prête aussi au déploiement Vault pour soulager les équipes de la fastidieuse intégration des services de sécurité des Clouders qui sont souvent parcellaires. Enfin, Vault aide à valider 3 des 12 points de la certification PCI DSS.

Dans cette continuité, WeScale, partenaire de HashiCorp, dispose d’une expertise forte en matière de sécurité qui lui permet de pouvoir définir la meilleure stratégie de gestion des secrets et de la mettre en œuvre avec Vault dans des délais très courts, minimisant ainsi les temps d'arrêt et renforçant la sécurité de votre infrastructure. 

En résumé 

Avantages de la gestion des secrets avec Vault de HashiCorp

  • Réduction du risque de fuite de données 
  • Chiffrement des données sensibles en transit et au repos en utilisant des clés gérées et sécurisées en central au sein de Vault, le tout via un workflow et une API uniques. 
  • Suppression des identifiants statiques et écrits en dur en centralisant les secrets dans Vault et en contrôlant étroitement l’accès en fonction des identités approuvées. 
  • Réduction des TTMs, en limitant les MEP retardées lors de revue des architectes sécurité
  • Une consommation automatique des secrets dans le cycle de déploiement applicatif et protection des données sensibles par le biais d’une seule API.