Natuurlijk! Hier zijn best practices en een strategie voor het veilig beheren van geheimen en omgevingsspecifieke configuraties in Terraform, rekening houdend met HashiCorp Vault, meerdere omgevingen, en jouw beveiligings- en compliance-eisen: 1. Organisatie van Geheimen en Configuraties Gebruik gescheiden Vault-secrets voor elke omgeving (dev, staging, productie) om risico’s te beperken. Structuur Vault: - Maak mappen of paden per omgeving, bijvoorbeeld: - secret/dev/ - secret/staging/ - secret/prod/ - Binnen elke omgeving, organiseer geheimen per toepassing of component. Gebruik consistente naamgevingsconventies voor eenvoudige beheer en automatisering. 2. Toegangsbeheer en Beveiliging Implementeer strikte toegangscontroles via Vault policies, afgestemd op het principe van “least privilege”. Gebruik Vault’s Identity en Access Management (IAM) functies, zoals Vault Auth methods (bijv. AppRole, LDAP, Kubernetes Auth), om toegangscontrole te automatiseren. Registreer en log alle toegang tot geheimen voor audit en naleving, conform AVG en interne beleidsregels. 3. Integratie met Terraform Gebruik Vault provider in Terraform en configureer het zo dat geheime gegevens dynamisch worden ingeladen tijdens deployment: - Maak gebruik van data bronnen (`data "vault_generic_secret"`) om geheimen op te halen. - Vermijd het hardcoden van geheimen in Terraform-code of variabelenbestanden. - Overweeg het gebruik van workspaces of modules per omgeving om de scheiding te versterken: - Terraform workspaces kunnen helpen om verschillende state-bestanden te beheren per omgeving. - Modules kunnen abstractie bieden en hergebruik mogelijk maken, met parameters die per omgeving verschillen. 4. Voorkomen van Verspreiding van Geheimen Gebruik geen hardcoded geheimen in de code of state-bestanden. Beperk toegang tot Terraform state-bestanden en versiesystemen. Gebruik encryptie voor opslag en overdracht. Automatiseer secret rotation en updates, zodat geheimen niet langdurig hetzelfde blijven. 5. Best Practices voor Secure Deployment Maak gebruik van secrets injection en dynamische secrets waar mogelijk, zodat geheime gegevens niet permanent worden opgeslagen. Beperk toegang tot Vault en Terraform-omgeving tot alleen geautoriseerd personeel. Gebruik Role-Based Access Control (RBAC) en audit logs. Gebruik encryptie in transit en at rest. 6. Compliance en AVG Bewaar geen persoonlijke gegevens in plaintext in Vault of Terraform. Implementeer databeveiligingsmaatregelen en bewaak toegang. Documenteer het geheime beheerproces voor audits. Zorg dat alle acties conform AVG worden geregistreerd. 7. Automatisering en CI/CD Integreer Vault en Terraform in je CI/CD-pijplijn met veilige secrets management. Gebruik tijdelijke tokens of korte levensduur voor toegang. Beperk de exposure van gevoelige gegevens tijdens builds en deployments. Samenvatting Gebruik gescheiden paden in Vault per omgeving. Pas strikte toegangscontroles en logging toe. Maak gebruik van Terraform workspaces en modules om omgevingsspecifieke configuraties te scheiden. Houd geheime gegevens uit code en state-bestanden. Implementeer dynamische secrets en rotation. Volg AVG en interne beveiligingsrichtlijnen strikt. Heeft u nog specifieke vragen of wilt u een voorbeeldconfiguratie?

Hier is een uitgebreide Terraform-strategie voor veilig geheimbeheer volgens Nederlandse best practices: ## 1. Structuur en Organisatie ### Workspace-strategie ```hcl # Directory structuur environments/ ├── dev/ │ ├── terraform.tfvars │ └── secrets.auto.tfvars ├── staging/ │ ├── terraform.tfvars │ └── secrets.auto.tfvars └── production/ ├── terraform.tfvars └── secrets.auto.tfvars modules/ ├── database/ ├── network/ └── application/ ``` ### Terraform Workspace configuratie ```hcl # main.tf terraform { required_version = ">= 1.0" backend "remote" { organization = "uw-bedrijf" workspaces { name = "app-${terraform.workspace}" } } } provider "vault" { address = var.vault_address namespace = "admin/${terraform.workspace}" } ``` ## 2. Geheimbeheer met HashiCorp Vault ### Vault Namespace structuur ``` admin/ ├── dev/ │ └── secrets/ ├── staging/ │ └── secrets/ └── production/ └── secrets/ ``` ### Terraform Vault Configuratie ```hcl # vault.tf resource "vault_mount" "secrets" { path = "secrets/${terraform.workspace}" type = "kv-v2" description = "KV secrets engine voor ${terraform.workspace}" } resource "vault_kv_secret_backend_v2" "secrets" { mount = vault_mount.secrets.path max_versions = 5 delete_version_after = "8760h" # 1 jaar } # Toegangsbeleid per omgeving resource "vault_policy" "environment" { name = "${terraform.workspace}-readonly" policy = <<EOT path "secrets/${terraform.workspace}/*" { capabilities = ["read"] } EOT } ``` ## 3. Veilige Configuratie-aanpak ### Gevoelige variabelen definiëren ```hcl # variables.tf variable "database_password" { type = string description = "Database wachtwoord" sensitive = true } variable "api_key" { type = string description = "Externe API sleutel" sensitive = true } variable "environment" { type = string description = "Omgeving naam" validation { condition = contains(["dev", "staging", "production"], var.environment) error_message = "Ongeldige omgeving. Toegestaan: dev, staging, production." } } ``` ### Geheimen ophalen vanuit Vault ```hcl # secrets.tf data "vault_kv_secret_v2" "database" { mount = "secrets/${terraform.workspace}" name = "database" } data "vault_kv_secret_v2" "api" { mount = "secrets/${terraform.workspace}" name = "api-credentials" } # Gebruik in resources resource "aws_db_instance" "main" { identifier = "db-${var.environment}" username = data.vault_kv_secret_v2.database.data["username"] password = data.vault_kv_secret_v2.database.data["password"] tags = { Environment = var.environment AVG-Compliant = "true" } } ``` ## 4. AVG Compliance Maatregelen ### Logging en Audit ```hcl resource "vault_audit" "file" { type = "file" options = { file_path = "/var/log/vault/audit.log" } } # Automatische rotatie van geheimen resource "vault_kv_secret_backend_v2" "secrets" { mount = vault_mount.secrets.path max_versions = 5 delete_version_after = "2160h" # 90 dagen voor AVG } ``` ### Toegangscontrole ```hcl # Team-based toegang resource "vault_policy" "developer" { name = "developer-${terraform.workspace}" policy = <<EOT # Alleen lezen in development path "secrets/dev/*" { capabilities = ["read"] } # Geen toegang tot productie path "secrets/production/*" { capabilities = ["deny"] } EOT } ``` ## 5. Preventie van Geheimverspreiding ### Gitignore configuratie ```gitignore # .gitignore *.tfvars *.tfstate *.tfstate.backup .terraform/ secrets.auto.tfvars .env ``` ### CI/CD Integratie ```yaml # .gitlab-ci.yml of GitHub Actions deploy: stage: deploy environment: $CI_ENVIRONMENT_NAME before_script: - apk add --no-cache vault - export VAULT_TOKEN=$(vault login -method=aws role=terraform -token-only) script: - terraform workspace select $CI_ENVIRONMENT_NAME - terraform apply -auto-approve only: - main when: manual ``` ## 6. Best Practices voor Modules ### Herbruikbare geheimen module ```hcl # modules/secrets/main.tf variable "environment" { type = string } variable "secret_paths" { type = list(string) default = [] } data "vault_kv_secret_v2" "secrets" { for_each = toset(var.secret_paths) mount = "secrets/${var.environment}" name = each.value } output "secrets" { value = { for k, v in data.vault_kv_secret_v2.secrets : k => v.data } sensitive = true } ``` ## 7. Beveiligingscontroles ### State Beveiliging ```hcl terraform { backend "s3" { bucket = "terraform-state-avd" key = "app/${terraform.workspace}/terraform.tfstate" region = "eu-west-1" encrypt = true dynamodb_table = "terraform-locks" } } ``` ### Policy Validation ```hcl # Sentinel policies of OPA policy "no-plaintext-secrets" { enforcement_level = "hard-mandatory" } ``` ## 8. Operationele Richtlijnen ### Geheim rotatie procedure 1. Nieuwe versie toevoegen in Vault 2. Terraform plan uitvoeren om impact te controleren 3. Geleidelijke implementatie per omgeving 4. Oude versies automatisch verwijderen na 90 dagen ### Noodprocedure bij geheimlek 1. Directe rotatie van betrokken geheimen 2. Audit log inspectie 3. Toegangsrevisie 4. AVG melding indien nodig Deze strategie zorgt voor: - **Scheiding van omgevingen** via namespaces - **AVG compliance** via logging en retentiebeleid - **Veilige state management** met versleuteling - **Gecontroleerde toegang** op basis van least privilege - **Automatische geheimrotatie** voor beveiliging Implementeer deze aanpak gefaseerd, beginnend met development omgevingen voor validatie.