Hier is een voorbeeld van een GitLab CI-configuratie die omgevingsspecifieke geheimen en inloggegevens veilig beheert door gebruik te maken van GitLab CI/CD-variabelen en omgevingsspecifieke secrets: ```yaml stages: - build - test - deploy # Build stage build_job: stage: build script: - echo "Project bouwen..." # Geen geheimen nodig voor build # Test stage test_job: stage: test script: - echo "Tests uitvoeren..." # Geen geheimen nodig voor testen # Deploy naar ontwikkeling deploy_development: stage: deploy environment: name: ontwikkeling url: https://dev.example.com only: - develop script: - echo "Uitrol naar ontwikkeling..." - ./deploy_script.sh --env=development --api-key "$DEV_API_KEY" --db-password "$DEV_DB_PASSWORD" variables: # Hier worden secrets gebruikt die via GitLab variabelen worden beheerd # Deploy naar staging deploy_staging: stage: deploy environment: name: staging url: https://staging.example.com only: - staging script: - echo "Uitrol naar staging..." - ./deploy_script.sh --env=staging --api-key "$STAGING_API_KEY" --db-password "$STAGING_DB_PASSWORD" # Deploy naar productie deploy_production: stage: deploy environment: name: productie url: https://example.com only: - main script: - echo "Uitrol naar productie..." - ./deploy_script.sh --env=productie --api-key "$PROD_API_KEY" --db-password "$PROD_DB_PASSWORD" ``` **Hoe je dit veilig instelt:** 1. Ga naar de GitLab-projectinstellingen > CI/CD > Variabelen. 2. Voeg voor elke omgeving de benodigde geheime variabelen toe, bijvoorbeeld: - `DEV_API_KEY`, `DEV_DB_PASSWORD` - `STAGING_API_KEY`, `STAGING_DB_PASSWORD` - `PROD_API_KEY`, `PROD_DB_PASSWORD` 3. Markeer deze variabelen als "Beschermd" en "Verbergen" om toegang te beperken en ze veilig te bewaren. 4. In de `.gitlab-ci.yml` worden deze variabelen gebruikt in de scripts en zijn ze alleen toegankelijk tijdens de jobs. **Extra tips:** - Gebruik 'Protected branches' om te zorgen dat alleen geautoriseerde gebruikers deployment jobs kunnen uitvoeren. - Overweeg het gebruik van 'Vault' of andere secret management tools voor extra beveiliging. - Zorg ervoor dat je deployment scripts geen secrets uitlekken in logs. Hiermee beheer je omgeving-specifieke geheimen veilig en conform het beveiligingsbeleid.

Hier is een veilige GitLab CI-pijplijnconfiguratie voor omgeving-specifieke geheimen: ```yaml stages: - build - test - deploy variables: # Algemene variabelen kunnen hier worden gedefinieerd build_job: stage: build script: - echo "Project bouwen..." only: - develop - staging - main test_job: stage: test script: - echo "Tests uitvoeren..." only: - develop - staging - main # Ontwikkelomgeving implementatie deploy_development: stage: deploy variables: ENVIRONMENT: "development" script: - echo "Implementeren naar ontwikkeling" - echo "API_KEY: $DEV_API_KEY" - echo "DB_PASSWORD: $DEV_DB_PASSWORD" # Voeg hier je implementatiescripts toe environment: name: development only: - develop rules: - if: $CI_COMMIT_BRANCH == "develop" # Staging omgeving implementatie deploy_staging: stage: deploy variables: ENVIRONMENT: "staging" script: - echo "Implementeren naar staging" - echo "API_KEY: $STAGING_API_KEY" - echo "DB_PASSWORD: $STAGING_DB_PASSWORD" # Voeg hier je implementatiescripts toe environment: name: staging only: - staging rules: - if: $CI_COMMIT_BRANCH == "staging" # Productieomgeving implementatie deploy_production: stage: deploy variables: ENVIRONMENT: "production" script: - echo "Implementeren naar productie" - echo "API_KEY: $PROD_API_KEY" - echo "DB_PASSWORD: $PROD_DB_PASSWORD" # Voeg hier je implementatiescripts toe environment: name: production only: - main rules: - if: $CI_COMMIT_BRANCH == "main" when: manual ``` ## Stappen om geheimen veilig te configureren: ### 1. **GitLab CI/CD Variabelen instellen** Ga naar je project → **Settings** → **CI/CD** → **Variables** en voeg toe: ``` # Ontwikkeling DEV_API_KEY = [jouw_ontwikkeling_api_sleutel] DEV_DB_PASSWORD = [jouw_ontwikkeling_db_wachtwoord] # Staging STAGING_API_KEY = [jouw_staging_api_sleutel] STAGING_DB_PASSWORD = [jouw_staging_db_wachtwoord] # Productie PROD_API_KEY = [jouw_productie_api_sleutel] PROD_DB_PASSWORD = [jouw_productie_db_wachtwoord] ``` ### 2. **Beveiligingsinstellingen voor variabelen:** - ✅ **Protect variable**: Alleen beschikbaar voor beveiligde branches - ✅ **Mask variable**: Voorkomt weergave in logs - ❌ **Expand variable**: Niet aanvinken voor gevoelige gegevens ### 3. **Aanvullende beveiligingsmaatregelen:** ```yaml # Optioneel: Gebruik externe geheimenopslag before_script: - | if [ -n "$VAULT_TOKEN" ]; then # Integratie met HashiCorp Vault of AWS Secrets Manager export DB_PASSWORD=$(vault read -field=password secret/db/$ENVIRONMENT) fi ``` ### 4. **Geavanceerde beveiliging met CI_JOB_TOKEN:** ```yaml deploy_production: stage: deploy script: - | # Gebruik CI_JOB_TOKEN voor veilige API-communicatie curl --header "JOB-TOKEN: $CI_JOB_TOKEN" \ "https://gitlab.example.com/api/v4/projects/$CI_PROJECT_ID/variables" \ --data "key=SECRET_VALUE&value=$PROD_API_KEY" ``` ## Best practices voor beveiliging: 1. **Branch protection**: Beveilig main, develop en staging branches 2. **Toegangscontrole**: Alleen specifieke gebruikers/groepen kunnen implementeren 3. **Audit logging**: Monitor alle implementatie-activiteiten 4. **Regelmatige rotatie**: Wijzig geheimen periodiek 5. **Minimal privilege**: Gebruik de minst privilege benadering voor API-sleutels Deze configuratie zorgt ervoor dat: - Geheimen alleen beschikbaar zijn tijdens implementatiejobs - Omgeving-specifieke variabelen geïsoleerd blijven - Productie-implementaties handmatige goedkeuring vereisen - Gevoelige gegevens gemaskeerd zijn in logs