[Terraform] Lesson 23 – Vault và Terraform

1. Khai niệm về Vault.

HashiCorp Vault là một công cụ quản lý và truy xuất an toàn đến các bí mật như mật khẩu, khóa API, chứng chỉ SSL/TLS, token truy cập, các giá trị cấu hình và dữ liệu nhạy cảm khác.

Vault được triển khai trên một máy chủ và cho phép quản trị viên quản lý các bí mật trực tiếp, trong khi các nhà phát triển có thể truy cập vào các bí mật thông qua một API.

Vault cung cấp một giao diện thống nhất để truy cập các bí mật từ bất kỳ kho bí mật nào, bao gồm cả AWS Secrets, Consul Key Value, Google Cloud KMS, Azure Service Principles, và nhiều loại kho bí mật khác.

Vault cũng cung cấp kiểm soát truy cập chặt chẽ, giúp giảm thiểu các cuộc tấn công bằng cách cung cấp chế độ Just-in-Time (JIT), giới hạn quyền hạn Just Enough Privilege (JeP), và ghi lại nhật ký kiểm tra chi tiết, cung cấp chứng cứ không thể chối bỏ cho các hoạt động quản lý bí mật.

Vault là một công cụ quản lý bảo mật được sử dụng để quản lý và lưu trữ các bí mật, chẳng hạn như mật khẩu, mã thông báo xác thực, chứng chỉ SSL và khóa SSH. Với Vault, các quản trị viên có thể quản lý các bí mật trực tiếp và nhà điều hành (nhà phát triển) có thể truy cập vào các bí mật thông qua API.

Vault cung cấp một giao diện thống nhất để truy cập vào bất kỳ bí mật nào từ bất kỳ kho bí mật nào, bao gồm các kho bí mật AWS Secrets, Consul Key Value, Google Cloud KMS, Azure Service principles, vv. Điều này giúp giảm thiểu sự phức tạp khi phải quản lý nhiều kho bí mật.

Một trong những điểm nổi bật của Vault là cung cấp quản lý truy cập chặt chẽ. Vault hỗ trợ Just-in-Time (JIT) để giảm thiểu diện tích tấn công dựa trên khoảng thời gian, cũng như Just Enough Privilege (JeP) để giảm thiểu diện tích tấn công dựa trên việc cung cấp các quyền ít nhất cần thiết. Điều này giúp đảm bảo rằng các bí mật chỉ được truy cập bởi những người cần thiết, giảm thiểu nguy cơ bị tấn công.

Ngoài ra, Vault cũng cung cấp tính năng ghi lại bản đăng ký chi tiết, chứng minh bằng chứng không bị can thiệp. Điều này giúp theo dõi việc truy cập vào các bí mật và cung cấp lịch sử hoạt động chi tiết để phân tích, xử lý và giám sát.

2. Quy trình sử dụng Vault trong Terraform.

Để sử dụng Vault trong Terraform, trước hết cần cài đặt và cấu hình provider Vault trong file Terraform. Sau đó, bạn có thể sử dụng các tài nguyên được cung cấp bởi provider để quản lý bí mật trong Vault.

Các bước thực hiện như sau:

1. Cài đặt và cấu hình provider Vault:

• Đầu tiên, cài đặt provider Vault bằng cách thêm mã sau vào file main.tf:

provider "vault" {
  address = "https://my-vault-instance.com:8200"
  token   = "my-token"
}

• Trong đó address là địa chỉ của Vault và token là mã thông báo truy cập để xác thực với Vault.
• Nếu bạn muốn sử dụng các thông số mặc định, bạn có thể bỏ qua cấu hình này và Terraform sẽ sử dụng các giá trị mặc định.

2. Sử dụng các tài nguyên được cung cấp bởi provider Vault:

• Sau khi cài đặt và cấu hình provider Vault, bạn có thể sử dụng các tài nguyên được cung cấp bởi provider để quản lý bí mật trong Vault.
• Ví dụ, để lấy một giá trị bí mật từ Vault, bạn có thể sử dụng tài nguyên vault_generic_secret như sau:

data "vault_generic_secret" "my_secret" {
  path = "secret/my_secret"
}

output "my_secret" {
  value = data.vault_generic_secret.my_secret.data.my_key
}

• Trong đó path là đường dẫn đến bí mật trong Vault và my_key là khóa của giá trị bí mật.
• Ngoài tài nguyên vault_generic_secret, provider Vault cũng cung cấp các tài nguyên khác như vault_aws_secret_backend để quản lý bí mật AWS, vault_gcp_secret_backend để quản lý bí mật Google Cloud, vv.

3. Xác thực với Vault sử dụng token:

• Nếu bạn sử dụng cấu hình mặc định và không cung cấp mã thông báo truy cập trong file cấu hình Terraform, bạn sẽ cần cung cấp mã thông báo truy cập khi thực thi lệnh Terraform. Để làm điều này, bạn có thể sử dụng các biến môi trường hoặc cờ lệnh để cung cấp mã thông báo truy cập.
• Ví dụ, để thực thi lệnh Terraform với mã thông báo truy cập, bạn có thể chạy lệnh sau:

Trong đó my-token là mã thông báo truy cập của bạn.

$ VAULT_TOKEN=my-token terraform apply

Sau khi đã cấu hình provider Vault trong Terraform, bạn có thể sử dụng các tài nguyên Vault để quản lý bí mật trong hệ thống. Ví dụ, để tạo một bí mật đơn giản trong Vault, bạn có thể sử dụng tài nguyên vault_generic_secret trong Terraform:

resource "vault_generic_secret" "example" {
  path = "secret/example"

  data_json = jsonencode({
    username = "my-username",
    password = "my-password",
  })
}

Trong đoạn mã trên, chúng ta đang tạo một bí mật với đường dẫn secret/example trong Vault. Nội dung của bí mật được định nghĩa dưới dạng một đối tượng JSON và được mã hóa bằng hàm jsonencode của Terraform. Khi bạn áp dụng tập lệnh này, Terraform sẽ tạo ra một bí mật mới trong Vault.

Bạn cũng có thể sử dụng các tài nguyên khác của Vault trong Terraform để quản lý các loại bí mật khác như mật khẩu SSH, chứng chỉ TLS, khóa mã hóa, vv.

Lưu ý rằng để truy cập vào các bí mật trong Vault, bạn cần phải có mã thông báo truy cập của bạn. Bạn có thể cung cấp mã thông báo truy cập bằng cách sử dụng biến môi trường VAULT_TOKEN hoặc cấu hình tùy chọn token trong các tài nguyên Vault của Terraform. Ví dụ:

provider "vault" {
  address = "http://localhost:8200"
  token   = var.my_token
}

Trong đoạn mã trên, chúng ta đang sử dụng biến my_token để cung cấp mã thông báo truy cập cho provider Vault của Terraform. Bạn có thể thay thế biến này bằng mã thông báo truy cập của bạn để truy cập vào Vault.

3. Ưu và nhược điểm khi sử dụng Vault.

Ưu điểm khi sử dụng Vault:

• Quản lý bảo mật và truy cập được đơn giản hóa.
• Dễ dàng tích hợp với các công cụ khác như Terraform, Kubernetes, Docker, Ansible, Chef, Puppet, …
• Cung cấp giải pháp để quản lý truy cập được điều chỉnh chặt chẽ, đặc biệt là các giải pháp Just-In-Time và Just-Enough-Privilege.
• Cung cấp khả năng theo dõi, đánh giá, kiểm soát và phân tích báo cáo chi tiết về việc truy cập và sử dụng bí mật.

Nhược điểm khi sử dụng Vault:

• Yêu cầu có hiểu biết sâu về các khái niệm bảo mật, phải có một số kiến thức về mã hóa, chứng chỉ số và mã hóa.
• Tích hợp với hệ thống có thể yêu cầu thời gian, công sức và chi phí để cấu hình và triển khai.
• Sử dụng Vault có thể ảnh hưởng đến hiệu suất hệ thống, đặc biệt là khi đồng thời sử dụng với nhiều ứng dụng và công cụ.

4. Các lưu ý khi sử dụng Vault.

Khi sử dụng Vault, có một số lưu ý quan trọng cần lưu ý:

• Bảo mật: Vault là một công cụ bảo mật và yêu cầu chú ý đặc biệt đến bảo mật. Mã thông báo truy cập và các bí mật khác cần được bảo mật chặt chẽ. Nên sử dụng các chức năng bảo mật mạnh nhất của Vault, bao gồm các chức năng như mfa, audit logging và phân quyền người dùng.
• Backup và restore: Cần thực hiện sao lưu thường xuyên để đảm bảo an toàn dữ liệu. Việc sao lưu này cần được thực hiện theo kế hoạch và được bảo mật chặt chẽ.
• Cấu hình Vault: Cấu hình Vault cần được quản lý chặt chẽ. Nên sử dụng các chức năng khóa và giám sát cấu hình để đảm bảo tính toàn vẹn của hệ thống.
• Khởi động: Nên sử dụng các chức năng khởi động an toàn để đảm bảo tính toàn vẹn của hệ thống khi khởi động lại.
• Cập nhật phần mềm: Cần cập nhật phiên bản phần mềm và các bản vá bảo mật đều đặn để đảm bảo tính bảo mật của hệ thống.
• Testing: Cần thực hiện kiểm thử và thử nghiệm trước khi triển khai Vault để đảm bảo tính ổn định và bảo mật của hệ thống.
• Hỗ trợ: Khi sử dụng Vault, cần có sự hỗ trợ kỹ thuật chuyên nghiệp để giải quyết các vấn đề liên quan đến bảo mật và tính toàn vẹn của hệ thống.

5. Ví dụ minh hoạ.

Dưới đây là một ví dụ minh họa cách sử dụng Vault trong Terraform để quản lý các bí mật trong hệ thống KVM:

1. Đầu tiên, ta cần thiết lập kết nối tới Vault server bằng cách sử dụng provider “vault”:

provider "vault" {
  address = "https://vault.example.com"
  token   = "${var.vault_token}"
}

2. Tiếp theo, ta cần tạo một role truy cập trên Vault server để cho phép Terraform có thể truy cập và đọc các bí mật trong hệ thống. Ví dụ, ta có thể tạo một role “terraform” như sau:

resource "vault_generic_secret_backend_role" "terraform_role" {
  backend       = "kv"
  role_name     = "terraform"
  token_policies = ["kv-read"]
  token_ttl     = 600
  token_max_ttl = 1200
}

3. Sau đó, ta có thể tạo các bí mật trong Vault bằng cách sử dụng các resource “vault_generic_secret”:

resource "vault_generic_secret" "db_password" {
  path = "secret/database"
  data_json = jsonencode({
    password = "mysecretpassword"
  })
}

4. Trong module của KVM, ta có thể sử dụng resource “vault_generic_secret” để lấy các bí mật từ Vault server:

module "kvm" {
  source = "./modules/kvm"

  vm_name         = "web1"
  vm_ip           = "10.0.2.10"
  vm_image        = "ubuntu/bionic64"
  vm_memory       = "512"
  vm_cpu          = "1"
  vm_user         = "ubuntu"
  vm_password     = "${vault_generic_secret.db_password.data_json.password}"
}

Ở đây, ta sử dụng ${vault_generic_secret.db_password.data_json.password} để lấy giá trị của password từ Vault server.

Với cách sử dụng Vault trong Terraform, ta có thể đảm bảo rằng các bí mật được quản lý một cách an toàn và bảo mật, giảm thiểu rủi ro liên quan đến lưu trữ và quản lý bí mật, đồng thời cho phép chia sẻ bí mật giữa các module khác nhau một cách dễ dàng.