Hier is een voorbeeld van een Vault-beleidsbeleid dat voldoet aan uw beveiligingsvereisten voor geautomatiseerde systemen en applicaties, specifiek gericht op Jenkins: 1. Beperk toegang tot alleen benodigde geheimen (build credentials). 2. Implementeer automatische rotatie elke 24 uur. 3. Volg het principe van minimale privileges. 4. Ondersteun automatische geheimenrotatie. **Voorbeeld Vault Policy (HCL):** ```hcl # Beleid voor Jenkins-gebruikers die alleen build credentials kunnen lezen en roteren path "secret/data/jenkins/build-credentials/*" { capabilities = ["read", "update"] } # Toegang tot rotatie van secrets path "secret/rotate/jenkins/build-credentials" { capabilities = ["update"] } ``` **Aanvullende best practices:** - **Gebruik dynamische secrets:** Als mogelijk, configureer Vault om dynamisch nieuwe secrets te genereren op aanvraag, zodat rotatie automatisch en veilig gebeurt. - **Automatische rotatie:** Implementeer een script of Vault event-trigger (bijv. via Vault's API of CLI) die elke 24 uur de secrets vernieuwt. - **Least privilege:** Geef de Jenkins-gebruikers alleen toegang tot de specifieke paden voor build credentials en rotatie, niet tot andere secrets. - **Authenticatie:** Gebruik een sterke authenticatiemethode zoals Vault AppRole met minimale privileges voor Jenkins. - **Audit en monitoring:** Houd logs bij van secret access en rotatie-activiteiten om verdachte activiteiten snel te detecteren. - **Sleutels en credentials veilig opslaan:** Zorg dat Jenkins de secrets niet hardcoded heeft, maar via Vault opvraagt tijdens builds. - **Automatisering:** Integreer Vault API calls in Jenkins pipelines voor het ophalen en roteren van secrets. **Voorbeeld van automatische rotatie via CLI:** ```bash vault write secret/rotate/jenkins/build-credentials ``` Dit kan worden geautomatiseerd via een cron-job of Jenkins pipeline die elke 24 uur draait. Door deze aanpak te volgen, minimaliseert u risico's door het beperken van privileges, automatisering van rotatie en het gebruik van dynamische secrets.

Zeker, hieronder vind je een gedetailleerd voorstel voor een HashiCorp Vault policy voor Jenkins volgens je vereisten: --- ### 1. Vault Policy voor Jenkins (Least Privilege) **Doel:** Toegang tot build credentials met automatische rotatie en minimale rechten. **Policy naam:** `jenkins-build-creds` ```hcl # Jenkins policy voor build credentials path "secret/data/builds/*" { capabilities = ["read", "list"] } # Toegang tot Key/Value v2 secrets engine voor builds path "secret/metadata/builds/*" { capabilities = ["list"] } # Toegang tot rotatiefunctionaliteit (indien gebruikmakend van Vault's dynamische secrets) path "database/creds/build-role" { capabilities = ["read"] } # Toegang tot transit engine voor encryptie (optioneel) path "transit/encrypt/builds" { capabilities = ["create", "update"] } path "transit/decrypt/builds" { capabilities = ["create", "update"] } ``` --- ### 2. Authenticatieconfiguratie voor Jenkins **Aanbevolen methode:** Kubernetes Service Account (indien Jenkins in Kubernetes draait) of AppRole. **Voorbeeld AppRole configuratie:** ```bash # AppRole aanmaken vault write auth/approle/role/jenkins \ token_policies="jenkins-build-creds" \ token_ttl=24h \ token_max_ttl=24h \ bind_secret_id=true ``` --- ### 3. Automatische Rotatie Implementatie **Optie 1: Dynamische Secrets (Aanbevolen)** ```hcl # Voor database credentials path "database/creds/build-role" { capabilities = ["read"] } ``` **Optie 2: Secret Leasen (KV v2)** - Stel lease duration in op 24h in secret engine configuratie - Jenkins moet secrets regelmatig vernieuwen --- ### 4. Jenkins Pipeline Configuratie **Voorbeeld Jenkinsfile:** ```groovy pipeline { agent any environment { VAULT_ADDR = "https://vault.example.com" } stages { stage('Get Credentials') { steps { script { // AppRole login withVault([vaultSecrets: [ [path: 'secret/data/builds/db', secretValues: [ [vaultKey: 'username'], [vaultKey: 'password'] ]] ]]) { // Gebruik credentials voor build sh './build-script.sh' } } } } } } ``` --- ### 5. Best Practices voor Risicominimalisatie 1. **Network Security:** - Gebruik Vault namespaces voor isolatie - Beperk netwerktoegang tot Vault met firewallregels 2. **Token Beveiliging:** ```bash # Stel strikte token policies in vault write auth/token/create jenkins-build-creds \ allowed_policies="jenkins-build-creds" \ token_explicit_max_ttl=24h ``` 3. **Audit Logging:** ```hcl # Enable audit logging path "sys/audit/*" { capabilities = ["create", "read", "update", "delete", "list"] } ``` 4. **Regelmatige Secret Rotatie:** ```bash # Creëer een automatisch rotatiescript vault write -f database/rotate-root/build-db ``` 5. **Toegangsbeperkingen:** - Gebruik path-based restrictions: `secret/data/builds/{{jenkins-job-name}}/*` - Implementeer regelmatige policy reviews --- ### 6. Monitoring en Alerting **Aanbevolen controles:** - Failed login attempts - Token usage metrics - Secret lease renewals - Policy changes --- ### 7. Risicobeperkende Maatregelen 1. **Tijdelijke Toegang:** ```hcl # Extra policy voor tijdelijke toegang path "secret/data/builds/temp/*" { capabilities = ["read", "list"] max_ttl = "1h" } ``` 2. **Emergency Access:** - Aparte break-glass procedure - Niet integreren in Jenkins 3. **Regular Key Rotation:** ```bash # Roteer Vault's root key regelmatig vault operator key rotate ``` --- ### Belangrijkste Veiligheidsprincipes: 1. **Least Privilege:** Elke Jenkins job krijgt alleen toegang tot zijn eigen secrets 2. **Automatische Rotatie:** Secrets worden maximaal 24 uur bewaard 3. **Audit Trail:** Alle toegang wordt gelogd 4. **Minimale Token TTL:** 24 uur maximale levensduur 5. **Scheiding van Taken:** Build credentials gescheiden van andere secrets Deze implementatie biedt een gebalanceerde aanpak tussen beveiliging en bruikbaarheid voor je Jenkins automatisering.