حل شد: چگونه به اسرار در حین استقرار ارجاع دهیم؟

🚀 خلاصه اجرایی

TL;DR: ارجاع ایمن اسرار در حین استقرار برنامه برای جلوگیری از آسیب پذیری ها بسیار مهم است. این راهنما راه‌حل‌های قوی، از جمله خدمات مدیریت مخفی اختصاصی، متغیرهای محیط امن CI/CD، و فایل‌های پیکربندی رمزگذاری‌شده را برای مدیریت ایمن داده‌های حساس در سراسر خطوط لوله CI/CD توضیح می‌دهد.

🎯 خوراکی های کلیدی

• اسرار کدگذاری سخت یا ذخیره اسرار رمزگذاری نشده در کنترل نسخه، نقص های امنیتی مهمی هستند که داده های حساس را آشکار می کنند.
• خدمات اختصاصی مدیریت مخفی (مانند AWS Secrets Manager، HashiCorp Vault) کنترل دسترسی متمرکز، قابل ممیزی و مبتنی بر هویت را با ویژگی هایی مانند چرخش خودکار و اسرار پویا ارائه می دهد.
• متغیرهای محیط امن CI/CD (به عنوان مثال، GitHub Actions Secrets) راه حلی ساده تر و یکپارچه برای اسرار استاتیک ارائه می دهند که به طور خودکار در لاگ های درون زمینه خط لوله پوشانده می شود.
• فایل‌های پیکربندی رمزگذاری‌شده (به‌عنوان مثال، SOPS، Seed Secrets) GitOps را با ذخیره اسرار رمزگذاری‌شده در کنار کد فعال می‌کنند، و رمزگشایی به‌طور ایمن در زمان استقرار با استفاده از یک کلید مدیریت‌شده انجام می‌شود.
• انتخاب راه حل به مقیاس پروژه، الزامات امنیتی، و هم ترازی GitOps، متعادل کردن پیچیدگی با ویژگی هایی مانند تولید اعتبار پویا و کنترل دسترسی دقیق بستگی دارد.

پیمایش در پیچیدگی‌های مدیریت مخفی امن در طول استقرار برنامه‌ها یک چالش حیاتی برای متخصصان فناوری اطلاعات است. این راهنما مشکلات رایج را بررسی می کند و راه حل های دقیق و دقیقی را برای ارجاع ایمن به داده های حساس در خطوط لوله CI/CD ارائه می دهد.

علائم: نقاط دردناک مدیریت مخفی ضعیف

مدیریت نادرست اسرار در طول استقرار می تواند منجر به آسیب پذیری های امنیتی قابل توجه، ناکارآمدی عملیاتی و مسائل مربوط به انطباق شود. شناخت این علائم اولین گام برای ایجاد یک خط لوله استقرار ایمن تر و قوی تر است.

مشکل: توسعه دهندگان اغلب کلیدهای API، اعتبار پایگاه داده، یا به توکن ها را مستقیماً به کد منبع یا فایل های پیکربندی دسترسی دارند. این فاحش ترین نقص امنیتی است.

تاثیر: اسرار برای هر کسی که به پایگاه کد دسترسی دارد قابل مشاهده می شود (حتی در مخازن خصوصی، دسترسی می تواند گسترده تر از آنچه در نظر گرفته شده باشد)، چرخش آنها را دشوار می کند و اگر مخزن در معرض خطر قرار گیرد بسیار مستعد قرار گرفتن در معرض آنها می شود.

• ### اسرار در کنترل نسخه (بدون رمز)

مشکل: ذخیره داده های حساس رمزگذاری نشده در Git یا سایر سیستم های کنترل نسخه، حتی در فایل های جداگانه از پایگاه کد اصلی.

تاثیر: شبیه کدگذاری سخت، اما کمی سازماندهی شده تر. تعهدات تاریخی می توانند اسرار خود را حفظ کنند، حتی اگر بعداً حذف شوند، و خطری دائمی ایجاد می کنند.

• ### عبور اسرار به عنوان متغیرهای محیط متن ساده (محلی/نادرست)

مشکل: تکیه بر متغیرهای محیط متن ساده در توسعه محلی یا محیط‌های استقرار ناامن که ممکن است در فهرست‌های فرآیند ثبت یا در معرض نمایش قرار گیرند.

تاثیر: اگرچه بهتر از کدگذاری سخت، متغیرهای محیطی همچنان می‌توانند توسط فرآیندهای دیگر در همان ماشین مشاهده شوند، یا اگر به دقت مورد بررسی قرار نگیرند، به‌طور ناخواسته توسط برنامه یا سیستم استقرار ثبت شوند.

• ### مدیریت مخفی دستی

مشکل: وارد کردن دستی اسرار به ابزارهای استقرار، سرورها یا برنامه ها در طول هر چرخه استقرار.

تاثیر: مستعد خطا، کند، مقیاس پذیر نیست، فاقد قابلیت ممیزی است، و یک نقطه شکست ایجاد می کند که در آن یک اپراتور انسانی به اشتباه یک راز را فاش می کند.

• ### عدم چرخش مخفی

مشکل: اسرار به ندرت یا هرگز به روز نمی شوند، حتی اگر طول عمر آنها کوتاه باشد.

تاثیر: پنجره فرصت برای بهره برداری از یک راز به خطر افتاده را افزایش می دهد. بهترین تمرین چرخش منظم، اغلب خودکار را دیکته می کند.

راه حل 1: خدمات مدیریت مخفی اختصاصی

خدمات مدیریت مخفی اختصاصی یک راه متمرکز، ایمن و قابل بازرسی برای ذخیره، دسترسی و مدیریت اسرار ارائه می‌کند. این پلتفرم‌ها برای امنیت در سطح سازمانی ساخته شده‌اند و ویژگی‌هایی مانند رمزگذاری، کنترل دسترسی (RBAC)، حسابرسی و چرخش خودکار را ارائه می‌کنند.

چگونه کار می کند

برنامه‌ها یا خطوط لوله استقرار با مدیر مخفی احراز هویت می‌شوند (معمولاً با استفاده از احراز هویت مبتنی بر هویت مانند نقش‌های IAM، حساب‌های سرویس یا گواهی‌های مشتری قابل اعتماد)، اسرار لازم را در زمان اجرا بازیابی می‌کنند و از آنها استفاده می‌کنند. اسرار هرگز به صورت متن ساده در پایگاه کد یا گزارش‌ها آشکار نمی‌شوند.

مثال: مدیر اسرار AWS با یک نمونه EC2

بیایید مثال EC2 را نشان دهیم که نیاز به دسترسی به رمز عبور پایگاه داده ذخیره شده در AWS Secrets Manager دارد.

مرحله 1: راز را در AWS Secrets Manager ذخیره کنید

به AWS Secrets Manager بروید، ذخیره یک راز جدید را انتخاب کنید. برای این مثال، ما اعتبار پایگاه داده را ذخیره می کنیم.

# Example JSON for a database secret
{
  "username": "dbuser",
  "password": "mySecurePassword123!",
  "engine": "mysql",
  "host": "mydb.c1abcdefghij.us-east-1.rds.amazonaws.com",
  "port": 3306
}

اسمش رو بذار my-app/db-credentials.

مرحله 2: یک نقش و خط مشی IAM ایجاد کنید

یک خط مشی IAM ایجاد کنید که اجازه بازیابی راز خاص را می دهد. این خط مشی را به نقش IAM که نمونه EC2 شما بر عهده می گیرد، وصل کنید.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": "arn:aws:secretsmanager:REGION:ACCOUNT_ID:secret:my-app/db-credentials-*"
        }
    ]
}

این خط مشی را به نقش IAM ضمیمه کنید، به عنوان مثال، MyAppEC2Role.

مرحله 3: نقش IAM را به نمونه EC2 خود اختصاص دهید

هنگام راه‌اندازی نمونه EC2 یا با تغییر نمونه موجود، آن را اختصاص دهید MyAppEC2Role به آن

مرحله 4: کد برنامه برای بازیابی راز

برنامه شما (به عنوان مثال، پایتون) از AWS SDK برای بازیابی راز در زمان اجرا استفاده می کند. از آنجا که نمونه EC2 نقش IAM اختصاص داده شده را دارد، بدون نیاز به اعتبار صریح در کد، به طور خودکار احراز هویت می شود.

import boto3
import json

def get_secret():
    secret_name = "my-app/db-credentials"
    region_name = "us-east-1" # Replace with your AWS region

    # Create a Secrets Manager client
    session = boto3.session.Session()
    client = session.client(
        service_name="secretsmanager",
        region_name=region_name
    )

    try:
        get_secret_value_response = client.get_secret_value(
            SecretId=secret_name
        )
    except Exception as e:
        print(f"Error retrieving secret: {e}")
        raise

    if 'SecretString' in get_secret_value_response:
        secret = get_secret_value_response['SecretString']
        return json.loads(secret)
    else:
        # For binary secrets, use get_secret_value_response['SecretBinary']
        return None

if __name__ == "__main__":
    db_credentials = get_secret()
    if db_credentials:
        print(f"Database Username: {db_credentials['username']}")
        print(f"Database Host: {db_credentials['host']}")
        # Now use these credentials to connect to your database
    else:
        print("Failed to retrieve database credentials.")

مزایای کلیدی مدیریت مخفی اختصاصی

• مدیریت متمرکز: منبع واحد حقیقت برای همه اسرار.
• کنترل دسترسی قوی: مجوزهای دقیق (چه کسی می تواند به کدام راز و تحت چه شرایطی دسترسی داشته باشد).
• رمزگذاری در حالت استراحت و انتقال: اسرار همیشه رمزگذاری شده است.
• حسابرسی: سیاهههای مربوط به دسترسی مخفی، ایجاد و اصلاح.
• چرخش خودکار: بسیاری از سرویس ها می توانند به طور خودکار اعتبارنامه ها را برای پایگاه های داده، کلیدهای API و غیره بچرخانند.
• رازهای پویا: اعتبارنامه های کوتاه مدت در صورت تقاضا ایجاد کنید (مثلا HashiCorp Vault).

راه حل 2: متغیرهای محیط CI/CD ایمن

برای بسیاری از استقرارها، به ویژه آنهایی که به مجموعه ویژگی های کامل یک مدیر مخفی اختصاصی نیاز ندارند، استفاده از قابلیت های مدیریت مخفی ایمن تعبیه شده در پلتفرم های مدرن CI/CD یک رویکرد موثر است. این پلتفرم‌ها مکانیسم‌هایی را برای ذخیره اسرار ایمن و تزریق آن‌ها به عنوان متغیرهای محیطی در کارهای ساخت و استقرار شما فراهم می‌کنند.

چگونه کار می کند

شما اسرار (به عنوان مثال، کلیدهای API، نشانه ها) را مستقیماً در تنظیمات پلت فرم CI/CD خود ذخیره می کنید. هنگامی که خط لوله اجرا می شود، این اسرار به عنوان متغیرهای محیطی برای کار خاصی که به آنها نیاز دارد در دسترس قرار می گیرند. مهمتر از همه، آنها معمولاً در لاگ ها پوشانده می شوند و به کنترل منبع متعهد نیستند.

مثال: GitHub Actions Secrets

فرض کنید برنامه شما برای استقرار در یک سرویس خارجی به یک کلید API نیاز دارد.

مرحله 1: Secret را در تنظیمات مخزن GitHub ذخیره کنید

در مخزن GitHub خود، به تنظیمات > اسرار و متغیرها > اقدامات > راز مخزن جدید.

یک راز جدید، به عنوان مثال، با نام اضافه کنید DEPLOY_API_KEY با ارزشش

(تصویر برای اهداف تصویری، تصویر واقعی در خروجی گنجانده نشده است.)

مرحله 2: از Secret در گردش کار GitHub Actions خود استفاده کنید

در شما .github/workflows/deploy.yml فایل، می توانید به این راز مراجعه کنید:

name: Deploy Application

on:
  push:
    branches:
      - main

jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v4

      - name: Setup Node.js
        uses: actions/setup-node@v4
        with:
          node-version: '18'

      - name: Install dependencies
        run: npm install

      - name: Run tests (optional)
        run: npm test

      - name: Deploy to Service
        env:
          MY_API_KEY: ${{ secrets.DEPLOY_API_KEY }} # Inject secret as environment variable
        run: |
          echo "Using API key for deployment..."
          # Example: Your deployment command using the environment variable
          npm run deploy -- --api-key $MY_API_KEY
          # Or, if your app directly reads process.env.MY_API_KEY
          echo "Deployment initiated successfully!"

      - name: Post-deployment checks
        run: echo "Deployment complete."

در این مثال، ${{ secrets.DEPLOY_API_KEY }} راز را از فضای ذخیره‌سازی امن GitHub دریافت می‌کند و به عنوان فاش می‌شود MY_API_KEY متغیر محیطی فقط برای مدت آن مرحله خاص.

مزایا و ملاحظات کلیدی برای متغیرهای محیطی CI/CD

• سادگی: راه اندازی آسان برای پروژه های کوچکتر یا جایی که یک مدیر مخفی اختصاص داده شده بیش از حد است.
• ادغام: به طور یکپارچه در گردش کار CI/CD یکپارچه شده است.
• نقاب زدن: اکثر پلتفرم‌های CI/CD به‌طور خودکار مقادیر مخفی را در گزارش‌ها پنهان می‌کنند تا از قرار گرفتن در معرض تصادفی جلوگیری کنند.
• حسابرسی: پلتفرم‌های CI/CD معمولاً افرادی که اسرار را ایجاد/اصلاح کرده‌اند ثبت می‌کنند. اجرای خط لوله قابل ممیزی است.
• محدوده: اسرار اغلب می توانند در پروژه ها، محیط ها یا حتی شعبه های خاص در نظر گرفته شوند.
• محدودیت: در حالی که در زمینه CI/CD امن هستند، این اسرار معمولا ثابت هستند و تولید اعتبار پویا یا سیاست‌های چرخش پیچیده مانند مدیران مخفی اختصاصی را ارائه نمی‌دهند.

راه حل 3: فایل های پیکربندی رمزگذاری شده (به عنوان مثال، SOPS، Secrets مهر و موم شده)

این رویکرد شامل رمزگذاری فایل های پیکربندی حاوی اسرار و ذخیره این فایل های رمزگذاری شده مستقیماً در کنترل نسخه در کنار کد برنامه شما است. رمزگشایی تنها در مرحله استقرار با استفاده از یک کلید امن انجام می‌شود، و در عین حال اسرار را ایمن نگه می‌دارد، اصول GitOps را رعایت می‌کند.

چگونه کار می کند

شما از ابزاری مانند Mozilla SOPS یا Bitnami Sealed Secrets برای رمزگذاری فایل های داده های ساخت یافته (YAML، JSON، .env) استفاده می کنید. کلید رمزگذاری به طور جداگانه مدیریت می شود (مثلاً در کنترلر KMS، کلید GPG یا Kubernetes). در حین استقرار، خط لوله CI/CD شما یا یک کنترلر درون خوشه ای از کلید برای رمزگشایی فایل ها درست قبل از نیاز برنامه به آنها استفاده می کند.

مثال: Mozilla SOPS با AWS KMS

بیایید a را رمزگذاری کنیم config.yaml فایل حاوی جزئیات حساس اتصال پایگاه داده.

مرحله 1: SOPS را نصب کنید

SOPS را از صفحه رسمی نسخه های GitHub دانلود و نصب کنید (https://github.com/getsops/sops/releases).

# Example for Linux/macOS
curl -LO https://github.com/getsops/sops/releases/download/v3.7.3/sops-v3.7.3.linux.amd64
sudo mv sops-v3.7.3.linux.amd64 /usr/local/bin/sops
sudo chmod +x /usr/local/bin/sops

مرحله 2: ایجاد یک کلید KMS (AWS)

یک کلید اصلی مشتری AWS KMS (CMK) ایجاد کنید که SOPS از آن برای رمزگذاری/رمزگشایی استفاده خواهد کرد.

# Using AWS CLI
aws kms create-key --description "SOPS encryption key"
# Output will include KeyId and Arn. Note the Arn.
# Example Arn: arn:aws:kms:us-east-1:ACCOUNT_ID:key/YOUR_KMS_KEY_ID

اطمینان حاصل کنید که کاربر/نقش IAM استفاده شده توسط خط لوله CI/CD شما دارای مجوزهای رمزگذاری/رمزگشایی با این کلید KMS است.

مرحله 3: فایل پیکربندی مخفی خود را ایجاد کنید

ایجاد یک config.yaml با اسرار خود فایل کنید

# config.yaml (This file will NOT be committed directly)
database:
  host: my-db-host.com
  port: 5432
  username: admin
  password: mySuperSecretPassword123
api:
  key: abcdef123456
  secret: anotherSuperSecret

مرحله 4: فایل را با SOPS رمزگذاری کنید

برای رمزگذاری از SOPS استفاده کنید config.yaml با استفاده از کلید KMS خود جایگزین کنید REGION، ACCOUNT_ID، و YOUR_KMS_KEY_ID با ارزش های واقعی شما

sops --encrypt --kms arn:aws:kms:REGION:ACCOUNT_ID:key/YOUR_KMS_KEY_ID \
     config.yaml > encrypted_config.yaml

را encrypted_config.yaml فایل ایمن است که به کنترل نسخه متعهد شود.

# encrypted_config.yaml (Contents after encryption)
database:
  host: ENC[AES256_GCM,data:...,iv:...,tag:...]
  port: ENC[AES256_GCM,data:...,iv:...,tag:...]
  username: ENC[AES256_GCM,data:...,iv:...,tag:...]
  password: ENC[AES256_GCM,data:...,iv:...,tag:...]
api:
  key: ENC[AES256_GCM,data:...,iv:...,tag:...]
  secret: ENC[AES256_GCM,data:...,iv:...,tag:...]
sops:
  kms:
    - arn: arn:aws:kms:REGION:ACCOUNT_ID:key/YOUR_KMS_KEY_ID
      created_at: "2023-10-27T10:00:00Z"
      enc: ENC[AES256_GCM,data:...,iv:...,tag:...]
  mac: ENC[AES256_GCM,data:...,iv:...,tag:...]
  version: 3.7.3

مرحله 5: در خط لوله CI/CD خود رمزگشایی کنید

در خط لوله CI/CD خود (به عنوان مثال، GitHub Actions، GitLab CI، Jenkins)، در طول مرحله استقرار، فایل را رمزگشایی خواهید کرد. مطمئن شوید که رانر CI/CD شما دارای اعتبارنامه های لازم AWS (به عنوان مثال از طریق OIDC، متغیرهای محیطی یا نقش IAM) برای دسترسی به کلید KMS است.

# Example CI/CD step
- name: Decrypt secrets
  run: sops --decrypt encrypted_config.yaml > decrypted_config.yaml
  env:
    AWS_REGION: us-east-1 # Important for KMS
    AWS_ACCESS_KEY_ID: ${{ secrets.AWS_ACCESS_KEY_ID }} # Or use OIDC/IAM roles
    AWS_SECRET_ACCESS_KEY: ${{ secrets.AWS_SECRET_ACCESS_KEY }}

- name: Deploy application
  run: |
    # Your deployment logic that uses decrypted_config.yaml
    # e.g., load into environment variables or pass as file to app
    DB_PASSWORD=$(yq '.database.password' decrypted_config.yaml)
    API_KEY=$(yq '.api.key' decrypted_config.yaml)
    echo "Deploying with database password: $DB_PASSWORD (masked)"
    ./my-app-deploy-script --db-password "$DB_PASSWORD" --api-key "$API_KEY"

را decrypted_config.yaml نباید *نباید* به کنترل نسخه متعهد باشد و باید پس از استقرار پاکسازی شود.

مزایا و ملاحظات کلیدی برای فایل های پیکربندی رمزگذاری شده

• GitOps Friendly: اسرار در کنار کد نسخه می‌شوند، که بازگشت‌ها و مدیریت محیط را سازگار می‌سازد.
• قابلیت حسابرسی (تغییرات): تاریخچه Git تغییرات را به اسرار رمزگذاری شده ردیابی می کند.
• انعطاف پذیری: پشتیبانی از سیستم های مختلف مدیریت کلید (KMS، GPG، Vault).
• بدون تماس API خارجی در زمان اجرا (برای برنامه): برنامه یک فایل محلی را مصرف می کند و وابستگی زمان اجرا به مدیران مخفی را کاهش می دهد.
• مدیریت کلید: خود کلید رمزگذاری باید به طور ایمن خارج از کنترل نسخه مدیریت شود.
• نقطه رمزگشایی: خط لوله CI/CD یا محیط استقرار نیاز به دسترسی به کلید رمزگشایی دارد که آن را به یک نقطه امنیتی حیاتی تبدیل می کند.
• اسرار مهر و موم شده برای Kubernetes: یک جایگزین بومی Kubernetes که Kubernetes را رمزگذاری می کند Secret اشیاء به SealedSecret منابعی که می توانند به طور ایمن در Git ذخیره شوند و توسط یک کنترلر درون خوشه ای رمزگشایی شوند.

مقایسه راه حل های مدیریت مخفی

انتخاب راه حل مناسب به نیازهای خاص، زیرساخت ها و وضعیت امنیتی شما بستگی دارد. در اینجا مقایسه ای برای کمک به تصمیم گیری شما وجود دارد.

نتیجه گیری

ارجاع ایمن به اسرار در طول استقرار برای عملیات مدرن فناوری اطلاعات غیرقابل مذاکره است. در حالی که کدگذاری سخت و ذخیره سازی متن ساده به شدت ممنوع است، چندین راه حل قوی وجود دارد که هر کدام نقاط قوت خود را دارند. خدمات مدیریت مخفی اختصاصی بالاترین سطح امنیت و انعطاف پذیری را برای محیط های پیچیده ارائه می دهد. متغیرهای محیطی با مدیریت CI/CD گزینه ای ساده و مطمئن برای استقرار ساده تر ارائه می دهند. فایل‌های پیکربندی رمزگذاری‌شده، به‌ویژه با ابزارهایی مانند SOPS یا Sealed Secrets، با حفظ اسرار نسخه‌سازی شده در کنار کد، در جریان‌های کاری مبتنی بر GitOps برتری می‌یابند. با درک این گزینه ها و اجرای دقیق آنها، می توانید وضعیت امنیتی برنامه ها و خطوط لوله استقرار خود را به میزان قابل توجهی افزایش دهید.

👉 مقاله اصلی را در TechResolve.blog بخوانید