Natuurlijk, ik help je graag bij het ontwerpen van een geautomatiseerd levenscyclusbeheerproces voor Vault secrets in jouw AWS Kubernetes-omgeving. Hieronder vind je een gestructureerd overzicht met best practices, workflowvoorbeelden en configuratiesnippets. **1. Overzicht van de belangrijkste componenten** - **Vault cluster** op AWS, met Kubernetes-authenticatie - **Dynamische secrets engine** (bijvoorbeeld database secrets engine) - **Automatiseringstools** zoals Kubernetes CronJobs, CI/CD pipelines, of externe schedulers (bijvoorbeeld HashiCorp Consul, Terraform, of custom scripts) --- **2. Best practices voor secret management** - **Automatische rotatie**: Secrets worden periodiek vernieuwd vóór verlopen - **Intrekken van secrets**: Oude secrets worden ingetrokken zodra ze niet meer nodig zijn - **Expiry en TTLs**: Secrets krijgen expliciete TTLs en worden automatisch ingetrokken na verloop - **Beperkte scope**: Secrets worden met minimale privileges aangemaakt - **Audit en logging**: Alle acties worden gelogd en gecontroleerd --- **3. Workflow voor secret levenscyclusbeheer** **A. Secret Aanmaken** - Gebruik de database secrets engine voor dynamische secrets. - Automatisch genereren bij elke aanvraag, met TTL. **B. Secret Roteerproces** - Plan periodieke rotatie via een Kubernetes CronJob of CI/CD pipeline. - Voorbeeld: Een script dat een nieuwe database user aanmaakt en oude verwijdert. **C. Secret intrekken** - Zodra een secret niet meer nodig is, wordt deze ingetrokken. - Bijvoorbeeld: bij gebruikersverandering of periodieke rotatie. **D. Secret verlopen en opruimen** - Vault zorgt voor automatische intrekking na TTL, maar je kunt ook expliciet opruimen via scripts. --- **4. Voorbeeld configuraties en scripts** **A. Configuratie voor dynamische database secrets** ```hcl # Vault database secrets engine configuratie vault write database/config/my-database \ plugin_name=mysql-database-plugin \ connection_url="{{username}}:{{password}}@tcp(hostname:3306)/" \ allowed_roles="readonly" \ username="vault" \ password="vault_password" ``` **B. Role voor dynamische secrets** ```hcl vault write database/roles/readonly \ db_name=my-database \ creation_statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}'; GRANT SELECT ON *.* TO '{{name}}'@'%';" \ default_ttl="1h" \ max_ttl="24h" ``` **C. Aanvraag van secrets via Kubernetes** Gebruik de Vault Kubernetes authenticatie en Kubernetes-auth role: ```yaml # Kubernetes auth role vault write auth/kubernetes/role/my-app \ bound_service_account_names=my-app-sa \ bound_service_account_namespaces=default \ policies=database-policy \ ttl=1h ``` In Kubernetes Deployment: ```yaml apiVersion: v1 kind: Pod metadata: name: my-app spec: serviceAccountName: my-app-sa containers: - name: app image: mijn-app-image env: - name: VAULT_ADDR value: "https://vault.cluster.local" - name: VAULT_TOKEN valueFrom: secretKeyRef: name: vault-token key: token ``` **D. Automatische rotatie script (voorbeeld in Bash)** ```bash #!/bin/bash # Parameters ROLE=readonly DB_SECRET_PATH="database/creds/$ROLE" RENEW_INTERVAL=3600 # 1 uur while true; do # Vraag nieuwe database credentials aan NEW_SECRET=$(vault read -format=json $DB_SECRET_PATH) USERNAME=$(echo $NEW_SECRET | jq -r '.data.username') PASSWORD=$(echo $NEW_SECRET | jq -r '.data.password') # Update applicatie of secrets store # Bijvoorbeeld: Kubernetes Secret bijwerken kubectl create secret generic db-credentials --from-literal=username=$USERNAME --from-literal=password=$PASSWORD --dry-run=client -o yaml | kubectl apply -f - # Wacht tot TTL afloopt sleep $RENEW_INTERVAL done ``` **E. Verlooptijden en expiratie** - Stel TTLs in Vault policies en roles in op basis van risicobeheer. - Gebruik Vault's `lease` mechanismen voor automatische intrekking. --- **5. Veiligheid en betrouwbaarheid** - Beperk de privileges van de Vault tokens die de scripts gebruiken. - Gebruik Kubernetes RBAC en Vault policies voor strikte toegangscontrole. - Implementeer monitoring en auditing voor alle secret-gerelateerde acties. - Test rotatie en intrekking in een staging omgeving voordat je naar productie gaat. --- **6. Samenvatting** Door deze workflows en configuraties te implementeren, zorg je voor een veilig, betrouwbaar en geautomatiseerd secret management proces dat past bij jouw AWS Kubernetes omgeving met dynamische database secrets. Het gebruik van TTLs, periodieke rotatie, en strikte toegangscontrole minimaliseert risico's en verhoogt de compliance. --- Heb je verdere specificaties of hulp nodig bij het aanpassen van bovenstaande voorbeelden?

Zeker, ik help u graag bij het ontwerpen van een robuust geautomatiseerd levenscyclusbeheerproces voor uw Vault-secrets. Hieronder vindt u een uitgebreid plan op basis van best practices, afgestemd op uw AWS- en Kubernetes-omgeving. --- ### **Overzicht Geautomatiseerd Levenscyclusbeheer Vault Secrets** **Doelstellingen:** - Automatiseren van secret creatie, rotatie, intrekking en verloop - Minimaliseren van handmatige interventie - Handhaven van hoge beveiligingsstandaarden - Integreren met bestaande AWS- en Kubernetes-omgeving --- ### **1. Architectuur & Componenten** **Aanbevolen Tools:** - **Vault Agent** (voor automatische injectie in pods) - **Vault Secrets Operator** (voor Kubernetes-native secret management) - **Custom scripts** (Python/Bash met Vault API) - **AWS Lambda** (voor scheduled rotatietaken) - **Kubernetes CronJobs** (voor container-gebaseerde automatisering) --- ### **2. Workflow Automatisering** #### **A. Aanmaken van Secrets (Automatische Provisioning)** **Workflow:** 1. Applicatie deployed op Kubernetes 2. ServiceAccount met juiste policies request secret via Vault Agent 3. Vault genereert dynamisch database secret 4. Secret wordt geïnjecteerd in pod als environment variable of volume **Vault Policy (voorbeeld):** ```hcl # database-creds.hcl path "database/creds/app-role" { capabilities = ["read"] } ``` **Kubernetes Deployment Configuratie:** ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: app-with-vault spec: template: metadata: annotations: vault.hashicorp.com/agent-inject: "true" vault.hashicorp.com/role: "app-role" vault.hashicorp.com/agent-inject-secret-db: "database/creds/app-role" spec: serviceAccountName: vault-auth containers: - name: app image: my-app:latest env: - name: DB_CREDS value: "/vault/secrets/db" ``` #### **B. Rotatie van Secrets (Geautomatiseerde Rotatie)** **Strategie:** - Database secrets: TTL van 24 uur + max_ttl van 72 uur - Automatische rotatie via Lambda-functie of Kubernetes CronJob **Lambda Functie (Python - AWS):** ```python import hvac import os def lambda_handler(event, context): vault_url = os.environ['VAULT_ADDR'] vault_token = os.environ['VAULT_TOKEN'] client = hvac.Client(url=vault_url, token=vault_token) # Rotate root database credentials client.secrets.database.rotate_root('database') return { 'statusCode': 200, 'body': 'Database root credentials rotated successfully' } ``` **Kubernetes CronJob voor Rotatie:** ```yaml apiVersion: batch/v1 kind: CronJob metadata: name: vault-secret-rotation spec: schedule: "0 2 * * *" # Dagelijks om 02:00 jobTemplate: spec: template: spec: serviceAccountName: vault-rotation-sa containers: - name: rotation-script image: hashicorp/vault:latest command: ["/bin/sh"] args: ["-c", "vault write -f database/rotate-root/my-database"] restartPolicy: OnFailure ``` #### **C. Intrekking en Verloop (Automatische Revocation)** **Workflow:** 1. Secrets worden automatisch ingetrokken bij TTL-expiratie 2. Extra intrekking bij pod termination **Vault Configuration Database Engine:** ```hcl resource "vault_database_secret_backend_connection" "postgres" { backend = "database" name = "postgres" allowed_roles = ["app-role"] postgresql { connection_url = "postgresql://{{username}}:{{password}}@db.example.com:5432/mydb" } } resource "vault_database_secret_backend_role" "app" { backend = "database" name = "app-role" db_name = "postgres" creation_statements = ["CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}';"] default_ttl = 86400 # 24 uur max_ttl = 259200 # 72 uur revocation_statements = ["DROP ROLE \"{{name}}\";"] } ``` **Kubernetes Termination Hook:** ```yaml apiVersion: v1 kind: Pod metadata: name: app-pod annotations: vault.hashicorp.com/revoke-on-shutdown: "true" ``` --- ### **3. Beveiligingsconfiguraties** **Vault Kubernetes Authentication:** ```hcl # Kubernetes auth backend configuratie resource "vault_auth_backend" "kubernetes" { type = "kubernetes" } resource "vault_kubernetes_auth_backend_config" "example" { backend = vault_auth_backend.kubernetes.path kubernetes_host = "https://kubernetes.default.svc:443" kubernetes_ca_cert = file("/var/run/secrets/kubernetes.io/serviceaccount/ca.crt") token_reviewer_jwt = file("/var/run/secrets/kubernetes.io/serviceaccount/token") } ``` **Granular Policies:** ```hcl # Fine-grained policy voor applicatierol path "database/creds/app-role" { capabilities = ["read"] allowed_parameters = { "ttl" = ["86400s", "43200s"] } } ``` --- ### **4. Monitoring & Logging** **Aanbevolen monitoring:** - Vault audit device logging naar AWS CloudWatch - Prometheus metrics export - Secret lease usage monitoring **CloudWatch Audit Device:** ```hcl resource "vault_audit" "cloudwatch" { type = "awscloudwatch" options = { log_group = "vault-audit" region = "eu-west-1" } } ``` --- ### **5. Noodprocedures & Backup** **Backup Strategie:** - Automatische RDS snapshots voor database - Vault Integrated Storage automated backups - Terraform state management voor configuratie **Vault Disaster Recovery:** ```bash # Vault DR commands vault operator generate-root -init -dr-token vault operator generate-root -dr-token ``` --- ### **6. Implementatiestappen** 1. **Stel Vault Kubernetes authentication op** 2. **Configureer database secrets engine met juiste TTLs** 3. **Implementeer Vault Agent injector in Kubernetes** 4. **Maak granular policies voor applicatierollen** 5. **Zet automatische rotatietaken op (Lambda/CronJob)** 6. **Configureer monitoring en alerting** 7. **Test exhaustief in pre-productie omgeving** --- ### **Belangrijkste Best Practices:** 1. **Principle of Least Privilege**: Minimaliseer rechten per applicatie 2. **Short-Lived Secrets**: Houd TTLs zo kort als mogelijk 3. **Automated Rotation**: Zorg voor frictionless rotatieprocessen 4. **Audit Logging**: Log alle secret access attempts 5. **Regular Reviews**: Review policies en access patterns regelmatig Dit ontwerp biedt een complete foundation voor geautomatiseerd secret management dat voldoet aan security best practices en optimaal integreert met uw AWS- en Kubernetes-omgeving.