Natuurlijk! Hieronder vind je een stapsgewijze handleiding en best practices voor het gebruik van Ansible Vault om je gevoelige gegevens veilig te beheren: 1. Ansible Vault initialiseren en encryptie toepassen -------------------------------------------------------- a. Maak een bestand aan dat je gevoelige gegevens bevat, bijvoorbeeld `secrets.yml`: ```yaml # secrets.yml db_password: geheim123 ``` b. Voer de encryptie uit: ```bash ansible-vault encrypt secrets.yml ``` Dit vraagt om een wachtwoord dat je later nodig hebt om het bestand te openen en te decrypten. 2. Gebruik van de geëncrypteerde bestanden in je playbook --------------------------------------------------------- a. Importeer het geheime bestand in je playbook: ```yaml - hosts: alle vars_files: - secrets.yml tasks: - naam: Database wachtwoord gebruiken debug: msg: "Het wachtwoord is {{ db_password }}" ``` b. Voer je playbook uit met: ```bash ansible-playbook playbook.yml --ask-vault-pass ``` of, als je een wachtwoordbestand hebt: ```bash ansible-playbook playbook.yml --vault-password-file /pad/naar/wachtwoord.txt ``` 3. Sleutelbeheer en beveiliging -------------------------------- - Gebruik een sterk, uniek wachtwoord voor je Vault. - Overweeg het gebruik van een wachtwoordbestand voor geautomatiseerde pipelines, maar zorg dat dit bestand veilig wordt opgeslagen. - Beperk de toegang tot het wachtwoordbestand en vault-bestanden tot geautoriseerde personen en systemen. - Gebruik `ansible-vault rekey` om de encryptiesleutel periodiek te wijzigen indien nodig. 4. Integratie in CI/CD pipelines --------------------------------- - Sla het Vault-wachtwoord op in een beveiligde secret management tool of environment variable. - Gebruik CI/CD tools (bijvoorbeeld Jenkins, GitLab CI, GitHub Actions) om het Vault-wachtwoord door te geven via environment variables of geheime opslag. - Bijvoorbeeld in Jenkins: - Sla het wachtwoord op als geheime variabele. - Gebruik een command zoals: ```bash ansible-playbook playbook.yml --vault-password-file <(echo "$VAULT_PASS") ``` - Automatiseringstools kunnen ook `ansible-vault view` gebruiken om geëncrypteerde bestanden te lezen zonder het wachtwoord te hoeven tonen. 5. Best practices voor geheime beheer ------------------------------------- - Gebruik geen hard-coded wachtwoorden of geheime gegevens in je playbooks. - Beperk toegang tot Vault-bestanden en wachtwoordbestanden. - Versiebeheer je playbooks, maar nooit de geheime bestanden zelf (of gebruik encryptie). - Automatiseer het sleutelbeheer en ververs de encryptiesleutels regelmatig. - Overweeg het gebruik van externe secret management systemen (bijvoorbeeld HashiCorp Vault, AWS Secrets Manager) en integreer ze met Ansible. Door deze aanpak te volgen, zorg je voor een veilige, robuuste en schaalbare manier om gevoelige gegevens te beheren binnen je Ansible automatisering en CI/CD workflows.

Zeker! Hier is een complete handleiding voor het implementeren van Ansible Vault in het Nederlands: ## Stap 1: Ansible Vault Installatie en Basisgebruik ### Vault-bestand aanmaken ```bash # Maak een versleuteld vault-bestand aan ansible-vault create secrets.yml # Of versleutel een bestaand bestand ansible-vault encrypt secrets.yml ``` ### Jouw vault-bestand (secrets.yml) ```yaml database_wachtwoord: geheim123 db_gebruiker: admin api_sleutel: jouw_api_sleutel_here ``` ## Stap 2: Playbook Integratie ### playbook.yml ```yaml - hosts: database_servers vars_files: - secrets.yml tasks: - name: Database configuratie mysql_user: name: "{{ db_gebruiker }}" password: "{{ database_wachtwoord }}" state: present ``` ## Stap 3: Vault Uitvoeren ```bash # Playbook uitvoeren met vault ansible-playbook playbook.yml --ask-vault-pass # Of met wachtwoordbestand ansible-playbook playbook.yml --vault-password-file vault_pass.txt ``` ## Sleutelbeheer Best Practices ### 1. Wachtwoordbestanden gebruiken ```bash # Maak een beveiligd wachtwoordbestand echo "jouw_sterke_wachtwoord" > vault_pass.txt chmod 600 vault_pass.txt ``` ### 2. Environment variables ```bash # In CI/CD omgeving export ANSIBLE_VAULT_PASSWORD_FILE=./vault_pass.txt ``` ### 3. Meerdere vaults voor verschillende omgevingen ```bash secrets/ ├── dev/ │ └── secrets.yml ├── prod/ │ └── secrets.yml └── staging/ └── secrets.yml ``` ## CI/CD Integratie ### GitLab CI Example (.gitlab-ci.yml) ```yaml deploy: script: - echo "$VAULT_PASSWORD" > vault_pass.txt - chmod 600 vault_pass.txt - ansible-playbook playbook.yml --vault-password-file vault_pass.txt variables: VAULT_PASSWORD: $VAULT_PASSWORD_SECRET ``` ### GitHub Actions Example ```yaml jobs: deploy: steps: - name: Run Ansible Playbook run: | echo "${{ secrets.VAULT_PASSWORD }}" > vault_pass.txt ansible-playbook playbook.yml --vault-password-file vault_pass.txt ``` ## Beveiligingsbest Practices 1. **Wachtwoordsterkte**: Gebruik complexe wachtwoorden (minimaal 32 tekens) 2. **Bestandspermissies**: `chmod 600` voor alle vault-bestanden 3. **.gitignore**: Voeg wachtwoordbestanden toe aan .gitignore 4. **Key Rotation**: Regelmatig wachtwoorden roteren 5. **Audit Logging**: Log alle vault-access 6. **Minimal Access Principle**: Beperk toegang tot vault-bestanden ## Geavanceerde Technieken ### Variabelen per omgeving ```yaml # group_vars/prod/vault.yml (versleuteld) database_url: postgresql://prod:geheim123@db-prod:5432 # group_vars/dev/vault.yml (versleuteld) database_url: postgresql://dev:dev123@db-dev:5432 ``` ### Vault IDs voor meerdere wachtwoorden ```bash ansible-playbook site.yml --vault-id dev@prompt --vault-id prod@vault_prod_pass.txt ``` ## Noodprocedure ```bash # Vault herstellen als wachtwoord verloren is # (Let op: dit vereist backup van onversleutelde data) ansible-vault rekey secrets.yml ``` ## Belangrijke Veiligheidschecks - ✅ Nooit vault-wachtwoorden committen - ✅ Gebruik verschillende wachtwoorden per omgeving - ✅ Regelmatige security audits - ✅ Automatische wachtwoordrotatie implementeren - ✅ Access monitoring en logging Met deze aanpak beheer je jouw gevoelige gegevens veilig en integreer je het naadloos in jouw CI/CD pipeline!