Beleid voor Geautomatiseerd Geheimbeheer binnen DevOps-pijplijn (Jenkins & Kubernetes) **Doelstelling:** Het waarborgen van veilige, efficiënte en conforme processen voor het beheer van geheimen (zoals API-sleutels, wachtwoorden en certificaten) binnen de DevOps-pijplijn, met geautomatiseerde workflows die integreren in Jenkins en Kubernetes. --- ### 1. Best Practices - **Centralisatie van geheimen:** Gebruik een dedicated secrets management systeem zoals HashiCorp Vault, Kubernetes Secrets, of een vergelijkbare tool, om geheimen op één plek te beheren en te auditen. - **Automatisering van creatie en rotatie:** Ontwikkel scripts of gebruik tools die automatisch nieuwe geheimen genereren en oude geheimen roteren volgens vastgestelde schema’s. - **Beperkte en gecontroleerde toegang:** Implementeer RBAC (Role-Based Access Control) om toegang tot geheimen te beperken tot enkel die processen en personen die het nodig hebben. - **Encryptie:** Zorg dat geheimen altijd versleuteld opgeslagen en getransporteerd worden, zowel in opslag als tijdens gebruik. - **Audit en logging:** Houd alle bewerkingen en toegang tot geheimen bij voor compliance en incidentanalyses. - **Veilige integratie:** Gebruik veilige methoden (zoals Kubernetes Secrets of Vault Kubernetes Auth) om geheimen te injecteren in pods en Jenkins pipelines zonder blootstelling. --- ### 2. Workflow voor Geheimbeheer #### a. Creatie en Initialisatie - Gebruik een geautomatiseerd script of tool (bijvoorbeeld Vault CLI, of Kubernetes API) om nieuwe geheimen te genereren op basis van standaard policies. - Beveilig de communicatie met het secrets management systeem via TLS en authenticatie-methoden (bijv. tokens, Kubernetes auth). #### b. Geheimen Roterende Processen - Stel een rotatieschema in (bijvoorbeeld elke 30 dagen). - Automatiseren van rotatie via scripts die nieuwe geheimen genereren en bestaande systemen bijwerken. - Gebruik API’s of CLI’s van de secrets manager om geheimen te vernieuwen en automatisch te distribueren. #### c. Intrekken en Vernietiging - Automatische verwijdering van oude geheimen na succesvolle rotatie. - Bij incidenten: onmiddellijk inrekend en hergenereren van verdachte geheimen. --- ### 3. Integratie in Jenkins en Kubernetes #### Jenkins - Gebruik Jenkins Credentials Binding plugin om geheime gegevens op een veilige manier te gebruiken. - Integreer met secrets management systemen via plugins (bijvoorbeeld HashiCorp Vault plugin). - Scripts in Jenkins pipelines moeten API’s of CLI’s gebruiken om dynamisch geheimen op te halen, zonder hardcoded waarden. #### Kubernetes - Gebruik Kubernetes Secrets voor opslag van geheimen, maar bij voorkeur in combinatie met een external secrets operator zoals External Secrets of HashiCorp Vault Secrets Operator voor dynamisch ophalen. - Configureer Kubernetes om secrets automatisch te synchroniseren met het secrets management systeem. - Zorg dat pods toegang krijgen tot secrets via volume mounts of environment variables, met minimale privileges. --- ### 4. Aanbevelingen voor Configuratie - **Secrets Management System:** - Implementeer HashiCorp Vault of een vergelijkbare tool met sterke authenticatie en autorisatie. - Configureer automatische rotatie policies binnen Vault. - **Automatisering Scripts:** - Schrijf scripts (bijvoorbeeld in Bash, Python) die via API’s nieuwe geheimen genereren en distribueerbaar maken. - Plan rotatie workflows via Jenkins pipelines of cron jobs. - **Security Controls:** - Gebruik TLS voor alle communicatie. - Beperk toegang tot secret management API’s via IP whitelisting en RBAC. - Log alle acties en bewaak deze. --- ### 5. Compliance en Validatie - Voer periodieke audits uit op het geheimen beheer. - Test rotatie workflows en herstelprocedures. - Documenteer alle processen en wijzigingen. --- ### Samenvatting - Centraliseer geheimen in een beveiligd secrets management systeem. - Automatiseer creatie, rotatie en intrekprocessen via scripts en CI/CD pipelines. - Beperk toegang en zorg voor encryptie. - Integreer naadloos met Jenkins en Kubernetes. - Houd alles gelogd en controleer regelmatig op compliance. --- Indien gewenst, kan ik ook concrete voorbeeldconfiguraties of scripts voor je opstellen.

Zeker, hier is een gedetailleerd beleidskader voor geautomatiseerd geheimbeheer in uw Jenkins/Kubernetes DevOps-omgeving, inclusief best practices en concrete implementatievoorbeelden. --- ### **Beleid voor Geautomatiseerd Geheimbeheer in DevOps** #### **1. Beleidsuitgangspunten** - Alle geheimen worden versleuteld opgeslagen (in rust en tijdens transmissie) - Geen hardgecodeerde geheimen in broncode, configuraties of logs - Zero-trust benadering: alle toegang wordt geverifieerd en gelogd - Automatische rotatie volgens vooraf gedefinieerde schema's - Scheiding van taken: ontwikkelteams kunnen geheimen gebruiken maar niet beheren #### **2. Architectuur en Tooling** **Aanbevolen stack:** - **Hashicorp Vault** als centrale secrets manager - **Jenkins** met Vault-plugin en Kubernetes service accounts - **Kubernetes** met: - `Secret` resources (versleuteld met etcd-encryption) - `ExternalSecret` operator (voor Vault-integratie) - Service accounts voor pod-identiteit #### **3. Geautomatiseerde Workflows** **Workflow 1: Aanmaken van geheimen** ```yaml # Jenkins pipeline (Declarative Pipeline) pipeline { agent any environment { VAULT_ADDR = 'https://vault.example.com' } stages { stage('Create Secret') { steps { withVault([vaultSecrets: [ [path: 'secret/data/new-app', secretValues: [ [vaultKey: 'api-key'], [vaultKey: 'database-url'] ]] ]]) { sh ''' # Geheim wordt automatisch aangemaakt in Vault vault kv put secret/data/new-app api-key=12345 database-url=postgres://... ''' } } } } } ``` **Workflow 2: Geheimrotatie** ```bash # Jenkins pipeline met rotatiescript pipeline { stages { stage('Rotate Database Credentials') { steps { sh ''' # Genereer nieuw wachtwoord NEW_PASSWORD=$(openssl rand -base64 32) # Update database vault write database/roles/my-role db_name=postgres \ creation_statements="CREATE ROLE \\"{{name}}\\" WITH LOGIN PASSWORD '${NEW_PASSWORD}'" \ default_ttl="1h" # Update Vault secret vault kv put secret/data/db-creds password=${NEW_PASSWORD} ''' } } } } ``` **Workflow 3: Geheimintrekking** ```yaml # Kubernetes Job voor intrekking apiVersion: batch/v1 kind: Job metadata: name: revoke-secrets spec: template: spec: serviceAccountName: vault-revoker containers: - name: revoker image: vault:latest command: ["/bin/sh"] args: ["-c", "vault lease revoke -prefix secret/"] restartPolicy: Never ``` #### **4. Kubernetes Configuratie** **ExternalSecret voor automatische synchronisatie:** ```yaml apiVersion: external-secrets.io/v1beta1 kind: ExternalSecret metadata: name: database-credentials spec: refreshInterval: "1h" secretStoreRef: name: vault-backend kind: ClusterSecretStore target: name: database-secret data: - secretKey: password remoteRef: key: secret/data/db-creds property: password ``` **Pod-toegang met service account:** ```yaml apiVersion: v1 kind: Pod metadata: name: my-app spec: serviceAccountName: app-service-account containers: - name: app image: my-app:latest env: - name: DATABASE_PASSWORD valueFrom: secretKeyRef: name: database-secret key: password ``` #### **5. Jenkins Configuratie** **Vault-plugin setup in Jenkinsfile:** ```groovy // Jenkins systeemconfiguratie (configure once) // Vault server URL en credentials toevoegen in Jenkins System Configuration pipeline { options { vaultSecrets([ [path: 'secret/data/ci-cd', engineVersion: 2, secretValues: [ [envVar: 'DOCKER_REGISTRY_KEY', vaultKey: 'registry-key'], [envVar: 'SLACK_WEBHOOK', vaultKey: 'slack-token'] ]] ]) } stages { stage('Build') { steps { sh 'docker login -u $USER -p $DOCKER_REGISTRY_KEY' } } } } ``` #### **6. Beveiligingsmaatregelen** **Netwerkbeleid:** ```yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: vault-access spec: podSelector: matchLabels: app: vault policyTypes: - Ingress ingress: - from: - namespaceSelector: matchLabels: name: jenkins ports: - protocol: TCP port: 8200 ``` **RBAC voor service accounts:** ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: secret-reader rules: - apiGroups: [""] resources: ["secrets"] verbs: ["get", "watch", "list"] ``` #### **7. Monitoring en Audit** **Vault audit logging:** ```hcl # Vault configuratie audit "file" { type = "file" path = "/var/log/vault-audit.log" } ``` **Jenkins logging:** ```groovy // Toevoegen aan pipeline post { always { archiveArtifacts artifacts: 'vault-audit.log', fingerprint: true } } ``` #### **8. Noodprocedures** **Noodrotatie alle geheimen:** ```bash #!/bin/bash # emergency-rotation.sh for secret in $(vault kv list -format=json secret/data | jq -r '.[]'); do vault kv delete "secret/data/${secret}" echo "Rotated secret: ${secret}" done ``` #### **9. Complianceregels** - **Retentie**: Alle geheimen worden na 90 dagen automatisch geroteerd - **Access reviews**: Maandelijkse toegangscontroles via Vault audit logs - **Backup**: Dagelijkse backup van Vault storage naar versleutelde S3 bucket - **Encryptie**: AES-256-GCM voor data-at-rest, TLS 1.3 voor data-in-transit #### **10. Implementatietraject** **Fase 1 (Week 1-2):** 1. Vault cluster installeren in Kubernetes 2. Jenkins Vault-plugin configureren 3. Basis secrets migreren naar Vault **Fase 2 (Week 3-4):** 1. ExternalSecret operator installeren 2. Automatische rotatie implementeren voor database credentials 3. Audit logging inschakelen **Fase 3 (Week 5-6):** 1. Noodprocedures testen 2. Team training en documentatie 3. Security review en pentest --- ### **Aanbevelingen voor uw omgeving** 1. **Start klein**: Begin met niet-kritieke geheimen en breid geleidelijk uit 2. **Gebruik namespaces**: Scheid secrets per team/environment in Kubernetes 3. **Implementeer automatische detectie**: Scan code repositories op hardgecodeerde secrets 4. **Houd rotatiefrequenties realistisch**: Database wachtwoorden: 30-90 dagen, API keys: 90-180 dagen 5. **Documenteer procedures**: Zorg dat ontwikkelaars weten hoe ze veilig met secrets kunnen werken Dit beleid biedt een solide basis voor geautomatiseerd geheimbeheer terwijl het voldoet aan security- en compliance-eisen in uw Jenkins/Kubernetes omgeving.