Natuurlijk! Hier volgen best practices, configuratierichtlijnen en voorbeelden om versiebeheer en audit trails in je Vault 1.10 omgeving met KV secrets engine v2 optimaal te benutten: **1. Versiebeheer met KV v2:** - **Gebruik van de ingebouwde versiebeheerfunctie:** Vault KV v2 ondersteunt automatisch versiebeheer van secrets. Elke wijziging aan een secret wordt opgeslagen als een nieuwe versie, terwijl vorige versies bewaard blijven voor herstel. - **Opslag van secretversies:** - Bij het schrijven van een secret, bijvoorbeeld via CLI: ```bash vault kv put secret/mysecret key1=value1 ``` wordt automatisch een nieuwe versie aangemaakt. - Oude versies blijven beschikbaar via de API of CLI, bijvoorbeeld: ```bash vault kv versions secret/mysecret ``` - **Rollback uitvoeren:** - Om een vorige versie te herstellen: ```bash vault kv get -version=2 secret/mysecret vault kv put secret/mysecret @<previous_version_data.json> ``` **2. Audit trails en logging:** - **Audit devices configureren:** - Je hebt al een file backend ingesteld. Zorg dat dit uitgebreid genoeg is en alle relevante endpoints logt. - Voor volledige audit trail, configureer het audit device met gedetailleerde logging: ```bash vault audit enable file path=/var/log/vault_audit.log ``` - **Logniveau instellen:** - Zorg dat alle API-aanroepen, inclusief foutmeldingen en succesvolle operaties, worden geregistreerd. - **Analyseren van logs:** - Gebruik log-analysetools om wijzigingen te traceren, inclusief timestamp, gebruiker, cliënt IP, en operationele details. **3. Best practices voor versiebeheer en auditing:** - **Beperk write-toegang:** - Gebruik policies om alleen geautoriseerde gebruikers of apps write-toegang te geven. - **Gebruik van 'revisions' voor audit:** - Bij het ophalen van secrets, noteer de versie. - Bij het herstellen of verwijderen, documenteer altijd de versie en gebruiker. - **Automatisering en monitoring:** - Implementeer alerts voor ongewenste of onverwachte wijzigingen. - Gebruik bijvoorbeeld Vault's audit logs in combinatie met SIEM-tools voor forensische analyse. **4. Voorbeeld: Een volledige workflow** - **Secreet maken:** ```bash vault kv put secret/credentials username='admin' password='p@ssw0rd' ``` - **Versie bekijken:** ```bash vault kv get secret/credentials vault kv get -version=1 secret/credentials ``` - **Wijzigingen volgen en rollback:** - Bekijk alle versies: ```bash vault kv list secret/credentials/versions ``` - Herstel een vorige versie: ```bash vault kv put secret/credentials @backup.json ``` - **Audit logs raadplegen:** - Bekijk het audit logbestand voor alle operaties: ```bash cat /var/log/vault_audit.log ``` **5. Aanvullende aanbevelingen:** - Overweeg het gebruik van **Namespaces** (indien mogelijk) voor scheiding van omgevingen. - Implementeer **beleid voor versie-retentie** zodat oude versies na een bepaalde periode automatisch worden verwijderd. - Overweeg het integreren van een **SIEM-systeem** voor geavanceerde analyse en alerting op audit logs. Door deze richtlijnen te volgen, zorg je voor een robuust versiebeheer en volledige audit trails binnen je Vault omgeving, waardoor rollback-mogelijkheden en forensische analyses effectief worden ondersteund.

Zeker, hier is een uitgebreide strategie voor versiebeheer en audit trails in HashiCorp Vault: ## KV Secrets Engine v2 Configuratie ### Basisconfiguratie ```bash # KV v2 engine inschakelen (indien nog niet gedaan) vault secrets enable -path=secret kv-v2 # Maximaal aantal versies configureren vault kv metadata put -max-versions=10 secret/app1/database # Verwijderde versies automatisch opruimen vault kv metadata put -delete-version-after=30d secret/app1/database ``` ### Versiebeheer Best Practices 1. **Versiebeleid instellen per pad:** ```bash # Voor kritieke secrets - meer versies behouden vault kv metadata put -max-versions=20 -delete-version-after=90d secret/prod/database # Voor minder kritieke secrets vault kv metadata put -max-versions=5 -delete-version-after=7d secret/dev/test ``` 2. **Versiegeschiedenis raadplegen:** ```bash # Alle versies tonen vault kv metadata get secret/app1/database # Specifieke versie lezen vault kv get -version=3 secret/app1/database # Vorige versie herstellen vault kv rollback -version=2 secret/app1/database ``` ## Audit Device Configuratie ### File Audit Device Optimalisatie ```bash # Audit device met uitgebreide logging vault audit enable file file_path=/var/log/vault/audit.log log_raw=true ``` ### Aanbevolen Audit Configuratie ```json { "file_path": "/var/log/vault/audit.log", "log_raw": true, "hmac_accessor": false, "rotate_duration": "24h", "max_retention_duration": "720h" } ``` ## Policies voor Gedetailleerde Controle ### Granulaire Access Policies ```hcl # Read-only policy voor audit teams path "secret/data/app1/*" { capabilities = ["read"] } # Policy voor developers met versiebeheer path "secret/data/dev/*" { capabilities = ["create", "read", "update", "list"] } path "secret/metadata/dev/*" { capabilities = ["list", "read"] } # Alleen security team mag versies herstellen path "secret/undelete/dev/*" { capabilities = ["update"] } path "secret/destroy/dev/*" { capabilities = ["update"] } ``` ## Monitoring en Alerting ### Vault Audit Log Analysis ```bash # Wijzigingen in secrets monitoren tail -f /var/log/vault/audit.log | jq '.request.path | select(contains("secret/data"))' # Failed attempts detecteren grep -i "denied" /var/log/vault/audit.log # Versie wijzigingen tracken grep -E "(secret/(data|metadata|delete))" /var/log/vault/audit.log ``` ### Script voor Automatische Backups ```bash #!/bin/bash # backup_secret_versions.sh SECRET_PATH="secret/app1/database" BACKUP_DIR="/backup/vault/$(date +%Y%m%d)" mkdir -p $BACKUP_DIR # Exporteer alle versies vault kv metadata get $SECRET_PATH | jq '.versions' > $BACKUP_DIR/versions.json # Backup van huidige versie vault kv get -format=json $SECRET_PATH > $BACKUP_DIR/current.json ``` ## Forensische Analyse Setup ### Log Aggregatie Configuratie ```yaml # Filebeat configuratie voor Vault logs filebeat.inputs: - type: log paths: - /var/log/vault/audit.log json.keys_under_root: true json.add_error_key: true output.elasticsearch: hosts: ["elasticsearch:9200"] index: "vault-audit-%{+yyyy.MM.dd}" ``` ### Query's voor Forensische Analyse ```sql -- Zoek naar secret wijzigingen SELECT * FROM "vault-audit-*" WHERE request.path LIKE '/v1/secret/data/%' AND @timestamp >= NOW() - INTERVAL '1' HOUR -- Detecteer bulk wijzigingen SELECT request.path, COUNT(*) as change_count FROM "vault-audit-*" WHERE request.operation IN ('create', 'update') GROUP BY request.path HAVING COUNT(*) > 5 ``` ## Best Practices Checklist ### ✅ Versiebeheer - [ ] KV v2 engine overal geïmplementeerd - [ ] Max versies per secret type ingesteld - [ ] Automatische cleanup geconfigureerd - [ ] Rollback procedures gedocumenteerd ### ✅ Audit Trails - [ ] File audit device geactiveerd - [ ] Log_raw=true voor complete data - [ ] Log rotatie geconfigureerd - [ ] Backups van audit logs ### ✅ Beveiliging - [ ] Granulaire policies per team - [ ] MFA waar mogelijk - [ ] Regular access reviews - [ ] Emergency access procedures ### ✅ Monitoring - [ ] Real-time alerting op suspicious activity - [ ] Regular log analysis - [ ] Performance monitoring - [ ] Capacity planning ## Aanbevolen Retentie Periodes | Data Type | Retentie | Reden | |-----------|----------|-------| | Audit logs | 2 jaar | Compliance requirements | | Secret versies | 3-6 maanden | Operationele needs | | Backup data | 7 jaar | Juridische requirements | Deze strategie zorgt voor een robuust versiebeheer en audit systeem dat voldoet aan security- en compliance-eisen, terwijl het flexibiliteit biedt voor dagelijks gebruik.