Het ontwerpen van een geautomatiseerd plan voor het intrekken en herstellen van geheimen in jouw Vault 1.9.0-omgeving vereist een gestructureerde aanpak die veiligheid, snelheid en minimale serviceonderbreking waarborgt. Hier volgt een stapsgewijs voorstel inclusief aanbevelingen, configuratievoorbeelden en best practices. 1. Automatisering van Intrekkingsworkflows a. Gebruik van Vault's API en CLI voor geautomatiseerde triggers: - Implementeer scripts (bijvoorbeeld in Bash, Python) die periodiek of op gebeurtenis basis geheimen intrekken. - Gebruik Vault's audit logs en integraties met SIEM-systemen om verdachte activiteiten te detecteren. b. Event-driven triggers: - Automatiseer de intrekking via webhook-achtige mechanismen of event-queues (bijvoorbeeld Vault's Audit Device + Log-Analysetools). - Koppel bijvoorbeeld een beveiligingsincidentdetector (zoals een SIEM of IDS) aan een script dat de intrekking start. c. Voorbeeld: API-trigger voor intrekking ```bash vault token revoke <token_id> # of voor secrets vault kv metadata delete secret/<secret_path> ``` 2. Automatisering van Herstel a. Snelle herstel binnen 30 minuten: - Bewaar encrypted backups van API-sleutels en service-account referenties in een veilig geautomatiseerd recovery-systeem. - Gebruik Vault's dynamische secrets waar mogelijk, die automatisch worden vernieuwd. b. Herstelproces: - Zorg voor een geautomatiseerd script dat bij detectie van een incident snel de juiste geheime versie herstelt of vernieuwt. - Implementeer een rol-gebaseerde toegangscontrole (RBAC) zodat herstelacties alleen door geautoriseerd personeel of geautomatiseerde systemen worden uitgevoerd. c. Voorbeeld: Automatisch herstel van een API-sleutel ```bash vault kv put secret/api-keys/<service> key=<nieuw_sleutel> ``` 3. Automatisering van Triggers a. Integraties met beveiligingssystemen: - Configureer Vault's audit logs en alarmen om verdachte activiteiten te detecteren en automatisch te reageren. - Gebruik bijvoorbeeld HashiCorp Consul of andere event-management tools om triggers te activeren. b. Implementatievoorbeeld: - Een script dat bij detectie van een compromittering automatisch een API-sleutel intrekt en een nieuwe genereert, en dat binnen 30 minuten wordt bevestigd. 4. Beveiligde Herstelprocessen a. Beveiligde communicatie: - Gebruik TLS voor alle communicatie. - Beperk toegang tot herstel- en herstelgegevens tot geautoriseerde systemen. b. Authenticatie en autorisatie: - Gebruik korte levensduur voor herstel-tokens. - Log alle herstelactiviteiten voor audits. 5. Best Practices en Aanbevelingen - Gebruik dynamische secrets waar mogelijk, zodat geheime gegevens niet statisch blijven. - Automatiseer zoveel mogelijk, maar met strikte toegangscontrole en monitoring. - Test regelmatig de workflows in een niet-productie-omgeving. - Documenteer alle procedures en herstelplannen. - Implementeer multi-factor authenticatie voor kritieke herstelacties. 6. Voorbeeld Configuratie voor Automatisering (Conceptueel) ```hcl # Vault policy voor herstel path "secret/api-keys/*" { capabilities = ["create", "update", "read"] } # Automatiseringsscript voorbeeld (Python) import hvac import time client = hvac.Client(url='https://vault.example.com', token='admin-token') def revoke_token(token_id): client.auth.token.revoke_token(token_id) def restore_api_key(service_name): new_key = generate_new_api_key() client.secrets.kv.v2.create_or_update_secret( path=f"secret/api-keys/{service_name}", secret={'key': new_key} ) def generate_new_api_key(): # Logica voor het genereren van een nieuwe API-sleutel return "nieuw-sleutel-123" # Automatiseringslogica incident_detected = True if incident_detected: revoke_token('<token_id>') restore_api_key('mijn_service') # Log of notificaties print("Geheimen hersteld en tokens ingetrokken.") ``` 7. Samenvatting - Automatiseer het intrekken en herstellen via API's en scripts. - Gebruik dynamische secrets en korte levensduur tokens. - Implementeer event-driven triggers gekoppeld aan beveiligingsincidenten. - Zorg voor beveiligde communicatie en strikte toegangscontrole. - Test en documenteer alle workflows regelmatig. Door deze aanpak zorg je voor een snelle, betrouwbare en veilige reactie op incidenten, met herstel binnen de gestelde 30 minuten en minimale serviceonderbrekingen.

Zeker, hieronder presenteer ik een gestructureerd, geautomatiseerd plan voor het intrekken en herstellen van geheimen in uw HashiCorp Vault 1.9.0 omgeving. ### **Geautomatiseerd Plan: Geheimenbeheer voor Vault 1.9.0** Dit plan is gebaseerd op de principes van zero-trust en minimalistische privileges, en is ontworpen om uw herstelvereisten van 30 minuten te halen. --- #### **1. Automatisering van Intrekkings-Triggers** Het doel is om van reactieve, handmatige intrekking over te stappen op proactieve, geautomatiseerde intrekking gebaseerd op gebeurtenissen en beleid. **A. Gebruik van Vault's Ingebouwde Levensduur (TTL) en Max TTL** Stel strikte TTL (Time-To-Live) in voor alle geheimen, vooral voor API-sleutels en service-account tokens. Vault trekt deze automatisch in wanneer ze verlopen. * **Aanbevolen TTL's:** * **API-sleutels:** 24 uur (of korter, afhankelijk van uw use-case). * **Service-account tokens/wachtwoorden:** 30 dagen. * **Database credentials:** Maximaal 1-2 uur voor applicaties. * **Configuratievoorbeeld (voor een KV-geheimenengine):** U kunt een `max_lease_ttl` instellen op het geheimniveau of gebruikmaken van de ingebouwde lease-functionaliteit van dynamische secrets. ```bash # Voor een KV v2 geheim, kunt u de lease-informatie bij creatie meegeven via de API. # Dit is met name relevant voor dynamisch gegenereerde secrets (bijv. database). # Voor statische secrets in KV, is het beleid op de engine/mount zelf van toepassing. ``` * **Configuratievoorbeeld (voor een PKI-engine):** ```bash # Schakel de PKI-engine in en configureer een rol met een korte TTL vault secrets enable pki vault secrets tune -max-lease-ttl=8760h pki # Max 1 jaar voor de root vault write pki/roles/my-api-role \ allowed_domains="example.com" \ allow_subdomains=true \ max_ttl="24h" # Certificaten uitgegeven via deze rol verlopen na 24u ``` **B. Integratie met Externe Gebeurtenissen via Vault's API** Automatiseer intrekking door scripts te schrijven die de Vault API aanroepen bij specifieke triggers. * **Triggers en Automatiseringsmethoden:** * **Onboarding/Offboarding van personeel:** Integreer uw HR-systeem (bijv. Workday) of Identity Provider (bijv. Active Directory, Okta) met Vault. Gebruik een script (Python, Go) of een tool zoals Terraform dat bij een "uitgeschakelde" gebruiker alle bijbehorende tokens intrekt en geheimen ongeldig maakt. * **SIEM- en Security Waarschuwingen:** Stel een webhook in van uw SIEM-systeem (bijv. Splunk, Elastic SIEM) naar een klein, beveiligd API-endpoint (bijv. een AWS Lambda of een container in uw cluster). Dit endpoint authenticeert zich bij Vault en roept de intrekkings-API aan. * **CI/CD Pipelines:** Trekt ontwikkel- of testtokens in zodra een pipeline is voltooid. * **Scriptvoorbeeld (Python) voor het intrekken van een token:** ```python #!/usr/bin/env python3 import requests import os import sys # Configuratie VAULT_ADDR = os.getenv('VAULT_ADDR') VAULT_TOKEN = os.getenv('VAULT_APP_ROLE_TOKEN') # Gebruik een speciaal service-token met intrekkingsrechten def revoke_secret(secret_lease_id): url = f"{VAULT_ADDR}/v1/sys/leases/revoke" headers = {'X-Vault-Token': VAULT_TOKEN} data = {'lease_id': secret_lease_id} response = requests.post(url, headers=headers, json=data) if response.status_code == 204: print(f"Successfully revoked lease: {secret_lease_id}") else: print(f"Error revoking lease: {response.status_code} - {response.text}") # Aanroepen met het lease_id dat u wilt intrekken (bijv. vanuit een SIEM alert) if __name__ == "__main__": lease_to_revoke = sys.argv[1] revoke_secret(lease_to_revoke) ``` **C. Gebruik van Vault Agents en Templates** De Vault Agent kan tokens automatisch vernieuwen, maar kan ook helpen bij het beheren van de levensduur van applicatietokens, waardoor het risico op langlevende tokens wordt verminderd. --- #### **2. Waarborgen van Veilige Herstelprocessen** Automatisch herstel moet net zo veilig zijn als de initiële uitgifte. Het principe van "least privilege" is heilig. **A. Gebruik van Gedefinieerde Herstelprocedures per Geheimentype** * **API-sleutels:** Genereer automatisch een nieuwe sleutel via de Vault API en distribueer deze veilig naar de betreffende service (bijv. via een sidecar container, Vault Agent, of een beveiligde configuratiemanager). * **Service-account referenties (bijv. voor een database):** Dit is waar Vault excelleert. Gebruik dynamische secrets. Wanneer een applicatie om credentials vraagt, genereert Vault ze just-in-time. Bij intrekking of verloop, genereert de applicatie simpelweg een nieuwe set. Er is geen "herstel" nodig in de traditionele zin. * **Configuratievoorbeeld (voor een database):** ```bash # Schakel de database secrets engine in vault secrets enable database # Configureer de verbinding naar de database vault write database/config/my-postgres-db \ plugin_name=postgresql-database-plugin \ connection_url="postgresql://{{username}}:{{password}}@postgres.service.consul:5432/myapp?sslmode=disable" \ allowed_roles="myapp-role" \ username="vaultadmin" \ password="supergeheimwachtwoord" # Creëer een rol die inloggegevens genereert vault write database/roles/myapp-role \ db_name=my-postgres-db \ creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}'; GRANT SELECT ON ALL TABLES IN SCHEMA public TO \"{{name}}\";" \ default_ttl="1h" \ max_ttl="24h" # Een applicatie vraagt nu automatisch nieuwe credentials aan vault read database/creds/myapp-role ``` **B. Geautomatiseerde Herstelworkflow** 1. **Detectie:** Een monitoringtool (bijv. Prometheus met de Vault metrics endpoint) detecteert een gefaalde authenticatiepoging door een service. 2. **Trigger:** De tool activeert een herstelscript. 3. **Authenticatie:** Het script authenticeert zich bij Vault met een krachtig, maar sterk gecontroleerd token (bijv. via AppRole). 4. **Uitgifte:** Het script vraagt nieuwe credentials aan voor de service. 5. **Distributie:** De nieuwe credentials worden veilig afgeleverd bij de service (bijv. door een configuratiebestand bij te werken dat de service herlaadt, of via een service mesh zoals Consul). --- #### **3. Minimaliseren van Serviceonderbrekingen** * **Toepassing van het "Grace Period" Principe:** Stel, waar mogelijk, een `revocation_delay` in (bijvoorbeeld 30 seconden) bij het gebruik van leases. Dit geeft een applicatie een kleine buffer om een nieuw geheim op te halen voordat het oude ongeldig wordt. * **Staggered Rollouts en Canary Deployments:** Wanneer u nieuwe API-sleutels voor een gedistribueerde service uitdeelt, rol deze dan gefaseerd uit (bijv. via Canary Deployments) om een cascade-uitval te voorkomen. * **Health Checks en Zelfherstellende Systemen:** Ontwerp uw applicaties om Vault's status te controleren en automatisch nieuwe secrets op te halen bij een 403 (Permission Denied) fout, wat vaak duidt op een ingetrokken geheim. --- #### **4. Best Practices en Aanvullende Aanbevelingen** * **Gebruik AppRole voor Automatisering:** Authenticeer uw herstelscripts en CI/CD-pipelines met Vault via AppRole. Dit is veel veiliger dan langlevende tokens. ```bash # Creëer een AppRole rol voor het herstelscript vault write auth/approle/role/secret-revoker \ secret_id_ttl=10m \ token_ttl=20m \ token_max_ttl=30m \ token_policies="secret-revocation-policy" ``` * **Strikte Policy-as-Code:** Definieer alle Vault policies met behulp van HCL en versiebeheer ze in Git. Gebruik Vault's eigen **Sentinel** of de **Vault Enterprise Policies** voor op regels gebaseerde controle over welke secrets kunnen worden uitgegeven en met welke TTL. * **Uitgebreide Auditing en Monitoring:** Schakel alle audit logs in (bijv. naar een `file` audit device) en stream deze naar uw SIEM. Monitor de Vault metrische gegevens (bijv. `vault.token.create`) om verdachte activiteiten te detecteren. * **Regelmatige Draaioefeningen:** Test uw geautomatiseerde intrekkings- en herstelprocedures regelmatig (bijv. kwartaallijks) in een pre-productie-omgeving om de 30-minuten SLA te valideren en het team vertrouwd te houden met het proces. Dit geautomatiseerde plan zal uw beveiligingspostuur aanzienlijk verbeteren, de operationele last voor uw beveiligingsteam verminderen en ervoor zorgen dat u kunt voldoen aan uw strikte herstelvereisten.