Het ontwerpen van een veilige en efficiënte Vault geheimen toegangsmodellering voor jouw microservices-architectuur vereist een gestructureerde aanpak die voldoet aan je beveiligingsvereisten. Hier zijn enkele best practices, beleidsvoorbeelden en configuraties: 1. Gebruik van Namespaces of Segregatie - Creëer voor elke microservice een eigen namespace of een aparte vault path (bijvoorbeeld: `secret/frontend/`, `secret/order/`, `secret/payment/`, etc.). - Dit zorgt voor scheiding van geheimen en voorkomt dat services toegang krijgen tot andermans secrets. 2. Identity en Authenticatie - Koppel elke microservice aan een unieke authenticatiemethode, zoals Kubernetes Service Accounts, AppRole, of TLS-certificaten. - Bijvoorbeeld, gebruik AppRole voor backend services en Kubernetes Auth voor container-gebaseerde services. 3. Least Privilege Toegang (RBAC) - Definieer per service een eigen policy die alleen toegang geeft tot de eigen secrets. - Voorbeeld policy voor Order Service: ```hcl path "secret/order/*" { capabilities = ["read", "create", "update", "delete"] } ``` - Voor Frontend Service: ```hcl path "secret/frontend/*" { capabilities = ["read", "create", "update", "delete"] } ``` - Dit voorkomt dat een service toegang krijgt tot andere secrets. 4. Secrets Management - Bewaar gevoelige gegevens zoals API-keys, database credentials, tokens in gescheiden, versleutelde secrets. - Gebruik dynamische secrets waar mogelijk (bijvoorbeeld database credentials die automatisch vervallen). 5. Automatisering en Rotatie - Stel automatische rotatie in voor gevoelige secrets. - Gebruik Vault's API of integraties om secrets automatisch te vernieuwen en te beheren. 6. Logging en Auditing - Activeer auditing om alle access en wijzigingen te loggen. - Analyseer logs regelmatig om verdachte activiteiten te detecteren. 7. Configuratievoorbeeld voor Vault Policy ```hcl # Policy voor Order Service path "secret/order/*" { capabilities = ["read", "create", "update"] } # Policy voor Payment Service path "secret/payment/*" { capabilities = ["read", "create", "update"] } ``` 8. Implementatie in Microservices - Integreer Vault clients of SDK’s in je services. - Maak gebruik van Vault's API voor het ophalen en vernieuwen van secrets. 9. Beveiliging van toegang tot Vault - Bescherm de Vault API endpoints met TLS. - Beperk netwerktoegang tot Vault via firewalls en netwerk policies. 10. Continu Verbeteren - Evalueer regelmatig je toegangsmodellen en policies. - Pas policies aan bij nieuwe beveiligingsvereisten of architectuurwijzigingen. Door deze best practices en beleidsvoorbeelden te volgen, zorg je dat elke microservice alleen toegang heeft tot haar eigen geheimen, en dat de geheimen veilig en efficiënt beheerd worden binnen je gedistribueerde systeem.

Zeker, ik help je graag met het ontwerpen van een veilig Vault toegangsmodel voor je microservices architectuur. Hier is een complete implementatiegids: ## 1. Basis Structuur en Best Practices ### Aanbevolen Vault Namespace Structuur: ``` kv/ ├── frontend/ │ ├── database │ ├── api-keys │ └── config ├── order-service/ │ ├── database │ ├── payment-api │ └── redis ├── payment-service/ │ ├── database │ ├── bank-api │ └── encryption-keys ├── inventory-service/ │ ├── database │ ├── cache │ └── external-apis └── notification-service/ ├── database ├── smtp └── push-keys ``` ## 2. Vault Policies per Service ### Frontend Policy (`frontend-policy.hcl`): ```hcl path "kv/data/frontend/*" { capabilities = ["create", "read", "update", "delete"] } path "kv/metadata/frontend/*" { capabilities = ["list"] } # Alleen lezen voor gedeelde configuraties path "kv/data/shared/app-config" { capabilities = ["read"] } ``` ### Order Service Policy (`order-service-policy.hcl`): ```hcl path "kv/data/order-service/*" { capabilities = ["create", "read", "update", "delete"] } path "kv/metadata/order-service/*" { capabilities = ["list"] } # Tijdelijke toegang voor payment API (indien nodig) path "kv/data/payment-service/payment-api" { capabilities = ["read"] } ``` ### Payment Service Policy (`payment-service-policy.hcl`): ```hcl path "kv/data/payment-service/*" { capabilities = ["create", "read", "update", "delete"] } path "kv/metadata/payment-service/*" { capabilities = ["list"] } ``` ## 3. Authenticatie Methoden ### Kubernetes Service Account (Aanbevolen): ```yaml # Voorbeeld order-service deployment apiVersion: apps/v1 kind: Deployment metadata: name: order-service spec: template: spec: serviceAccountName: order-service-account containers: - name: order-service env: - name: VAULT_ADDR value: "http://vault:8200" - name: VAULT_ROLE value: "order-service" ``` ### Vault Kubernetes Configuratie: ```bash # Enable Kubernetes auth method vault auth enable kubernetes # Configureer Kubernetes connection vault write auth/kubernetes/config \ kubernetes_host="https://kubernetes.default.svc" \ token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" # Create role voor order-service vault write auth/kubernetes/role/order-service \ bound_service_account_names=order-service-account \ bound_service_account_namespaces=default \ policies=order-service-policy \ ttl=24h ``` ## 4. Service Implementatie Voorbeelden ### Order Service Vault Integration (Node.js): ```javascript const vault = require('node-vault')(); class VaultSecretsManager { constructor() { this.vault = vault({ apiVersion: 'v1', endpoint: process.env.VAULT_ADDR, token: process.env.VAULT_TOKEN }); } async getDatabaseCredentials() { try { const secret = await this.vault.read('kv/data/order-service/database'); return { host: secret.data.data.host, username: secret.data.data.username, password: secret.data.data.password }; } catch (error) { throw new Error(`Vault access failed: ${error.message}`); } } async getPaymentApiKey() { const secret = await this.vault.read('kv/data/payment-service/payment-api'); return secret.data.data.api_key; } } ``` ### Docker Compose met Vault: ```yaml version: '3.8' services: vault: image: vault:1.15.0 environment: - VAULT_DEV_ROOT_TOKEN_ID=root-token - VAULT_DEV_LISTEN_ADDRESS=0.0.0.0:8200 ports: - "8200:8200" volumes: - vault-data:/vault/data order-service: build: ./order-service environment: - VAULT_ADDR=http://vault:8200 - VAULT_TOKEN=order-service-token depends_on: - vault volumes: vault-data: ``` ## 5. Geheimen Rotatie en Beheer ### Automatische Wachtwoord Rotatie: ```bash # Enable database secrets engine vault secrets enable database # Configureer MySQL database vault write database/config/order-db \ plugin_name=mysql-database-plugin \ connection_url="{{username}}:{{password}}@tcp(mysql:3306)/" \ allowed_roles="order-db-user" \ username="vault-admin" \ password="admin-password" # Create dynamic role vault write database/roles/order-db-user \ db_name=order-db \ creation_statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}';GRANT SELECT ON order_db.* TO '{{name}}'@'%';" \ default_ttl="1h" \ max_ttl="24h" ``` ## 6. Monitoring en Auditing ### Enable Vault Audit Logs: ```bash # Enable file audit device vault audit enable file file_path=/vault/logs/audit.log # Enable syslog audit device vault audit enable syslog tag="vault" facility="LOCAL0" ``` ### Policy voor Audit Logs: ```hcl # audit-policy.hcl path "sys/audit" { capabilities = ["create", "read", "update", "delete", "list"] } path "sys/audit/*" { capabilities = ["create", "read", "update", "delete", "list"] } ``` ## 7. Implementatie Stappen 1. **Initialiseer Vault**: ```bash vault operator init vault operator unseal ``` 2. **Creëer Policies**: ```bash vault policy write frontend-policy frontend-policy.hcl vault policy write order-service-policy order-service-policy.hcl # Herhaal voor andere services ``` 3. **Configureer Secrets Engines**: ```bash vault secrets enable -path=kv kv-v2 ``` 4. **Creëer Service Accounts en Rollen**: ```bash vault write auth/kubernetes/role/order-service \ bound_service_account_names=order-service \ bound_service_account_namespaces=default \ policies=order-service-policy \ ttl=1h ``` ## 8. Beveiligings Best Practices - **Principle of Least Privilege**: Elke service krijgt alleen minimale benodigde toegang - **Regelmatige Rotatie**: Implementeer automatische geheimen rotatie - **Network Policies**: Beperk Vault toegang tot specifieke netwerken - **Monitoring**: Houd alle toegangspogingen bij met audit logs - **Backup**: Maak regelmatig backups van Vault data Dit ontwerp zorgt voor een veilige, geïsoleerde geheimen management waarbij elke service alleen toegang heeft tot zijn eigen geheimen, precies volgens je beveiligingsvereisten.