סיפור לקוח: ניהול פלטפורמת הסודות של Target בעזרת HashiCorp Vault
לאחרונה נתקלנו בהקלטה חדשה של סיפור לקוח מרוצה מ- HashiCorp Vault, והחלטנו לשתף אותו, כולל תרגום וסיכום של עיקרי הדברים.
ניתן גם לצפות בוידאו ולקרוא את המלל המלא.
בקריאה כאן ניתן ללמוד כאן כיצד חברת Target אימצה את HashiCorp Vault לשימוש רוחבי בקבוצות הארגון,
וכיצד החברה הקימה ומנהלת את השימוש ב- Vault בארגון – כולל builds ותהליכי CI/CD , תחזוקה אוטומטית, הדרכות וידע למשתמשי הקצה ועוד.
בוידאו, שאורכו 17 דקות, מתאר Shane Petrich, מקבוצת ה- Cyber security , מדוע בחרו ב- Vault וכיצד מימשו את הפתרון , ומדוע ההטמעה היתה מוצלחת.
בנימה אישית אוכל גם להגיד שסיפור הלקוח עניין אותנו משום שאנו מספקים שירות דומה של בניית פתרון כזה ללקוחותינו.
ההשוואה לסיפור הלקוח אפשרה לנו לוודא שאנו מציעים פתרון טוב שיוכל להתאים גם ללקוחות נוספים (ואתם מוזמנים לפנות אלינו בנושא – הפרטים שנו בהמשך).
רקע על חברת Target:
החברה עוסקת בקמעונאות (retail) ומחזיקה למעלה מ 170,000 עובדים ברחבי העולם.
החברה מחזיקה מעל 1900 חנויות ברחבי ארה"ב (עם הלוגו המוכר לכל מי שנוסע בכבישים הבין-עירוניים בארה"ב), 46 מרכזי הפצה בארה"ב וכמובן אתר אונליין.
מרכז החברה במינסוטה ארה"ב.
האתגרים שהיו ב- Target:
- הסודות (secrets) מפוזרים בכל מקום ואין שליטה על כך. זהו אתגר נפוץ בכל ארגון שלא מנהל את הסודות במקום מרכזי.
- סודות נמצאים במקום לא בטיחותי בו לא אמורים להיות (כמו למשל בתוך git repo)
- מציאת פתרון שיתאים גם לפרוייקטים חדשים וגם לפרוייקטי legacy
- איתור פתרון יציב ואמין – המערכת מיועדת לשרת הרבה משתמשים ולהיות זמינה כל הזמן
- מציאת פתרון שיעמוד ברגולציה (סצפיפית עבורם PCI [תקן לכרטיסי אשראי] , SOX ו – HIPPA).דהיינו פתרון שיאפשר לאחסן סודות ויעמוד בכל הרגולציות הנ"ל
- איתור פתרון שניתן להקים במהירות
מימוש הפתרון
שיין מספר שהיה חסר להם ידע כיצד לבנות את הפתרון.
הם עשו זאת על בסיס ניסוי וטעיה (השאיפה היתה לבנות מהר – ואם מגלים שמשהו לא עובד – אז למצוא זאת מהר ולהכשל מהר).
באופן כללי – הם שאפו לבנות אוטומציה.
אוטומציה של תהליך ה- Onboarding
לאחר שהבינו שניתן לבצע אוטומציה לתהליך חיבור המשתמשים למערכת (יחד עם חיבור ל- LDAP) – הם מימשו זאת.
לאחר מכן ביקשו ממשתמשים שיתארו להם מה ה- policies שהם צריכים לבדוק – והם בנו זאת עבורם.
שילוב בתוך תהליכי CI ו- CI Pipelines
את מה שהם בנו עבור משתמשי-הקצה, האחרונים הוסיפו לבסוף אל תוך תהליכי ה- CI/CD (לאחר בדיקות כמובן),
כ- job נפרד שבודק policies בהתאם למה שהוגדר בכל פרוייקט.
שילוב משתמשי-קצה בתהליך הבניה והעבודה
תהליך ההטמעה כלל גם הדרכות למשתמשי הקצה – בפרט כיצד לעבוד מול Vault דרך ה- API, דרך curl ודרך ה- UI .
ההדרכה כללה גם תיעוד והוספה למאגר ידע, ע"מ שלמשתמשים יהיה קל לאמץ זאת גם בשירות עצמי.
ניטור זמינות הפלפוטרמה שבנו + ביצועים
יחד עם הטמעת המערכת, היה צריך לוודא שהיא זמינה ואמינה (מבחינת ביצועי המערכת).
הם הכניסו מערכת ניטור שמוודאת שהתשתית + האפלקיציה זמינים לשימוש, וכן מדדו זמני תגובה.
עדכונים ותחזוקה למערכת
ישנם עדכונים ב- 2 היבטים:
- עדכוני האפליקציה עצמה – עדכון Vault (וגם Consul שמשמש כ – backend storage עבור Vault)
- עדכון תעודות (certificates) בצורה אוטומטית ושקופה למשתמשי הקצה
לסיכום – הוא מתאר מסע משותף ומוצלח ביחד עם המשתמשים שלו.
הוידאו כאן (17 דקות):
לנוחיותכם הוספנו כתוביות באנגלית
מלל (transcript) מלא של הוידאו ניתן לקרוא כאן.
אנו נוכל לבנות לכם פתרון דומה באופן מהיר ומקצועי מבוסס ידע, נסיון ו- best practices מהשטח – אנו גם מוסמכים לכך.
פנו אלינו לפרטים נוספים: hashicorp@almtoolbox.com או טלפונית: 072-240-5222
קישורים רלבנטים:
- אתר HashiCorp Vault (ישראל – עברית)
- הסבר: מה זה HashiCorp Vault
- הסבר: מהם Dynamic Secrets ב- HashiCorp Vault ?
