概要
初回の記事"CipherTrust Secrets Management (CSM)をためす"で、"Static Secret"の操作について紹介しました。今回は注目の機能である"Dynamic Secret"をためしてみます
"Dynamic Secret"とは何でしょうか?
"必要なときに作成され、利用後削除される'一時的に利用される認証情報'"ということになります
Static Secret を利用することにより、ハードコードや、Configration Fileに、認証情報を保存しておく必要がなくなり、認証情報を一元管理でき、Akeylessの特許取得済みの暗号化技術"DFC"を利用し安全に保存できることができるようになりました
しかしながら、Static Secret が、なんらかの要因により漏洩してしまうと、悪意を持った人がそのSecretを利用し、情報にアクセスできてしまいます
Dynamic Secret を利用することにより、Secretは、クライアントが必要なときに必要な権限を持つ Secretを随時個別に作成されるようになります。また、Secretの有効期間を設定できるので、利用後に削除することができます
これにより、万が一、Secretが漏洩した場合でも、データ漏洩の被害を縮小することができます
"App Servre"からDBへアクセスする簡単な例を用いて"Dynamic Secret"についてご紹介させていただきます
Clientである"App Server"が、"Akeyless Gateway"を経由し、"Akeyless SaaS"へ、Targetである、DBのシークレットを要求します。Akeyless は、DBに予め登録してある"Target"の情報を用いて、DBへログインし、一時的に利用できるSecretを作成します。Akeyless SaaSはPublic Network(Internet)上に存在するため、Private Network(お客様ネットワーク環境)上のDBへ直接アクセスすることができません。このため Private Network 上の"Akeyless Gateway"から、DBへログインし、一時的に利用できるSecretを作成を行います。作成されたSecretは、App Serverへ送られます。App ServerはこのSecretを用いDBへのアクセスを行います。TTL(有効期間が経過すると、Akeyless Gatewayは、再度、DBへアクセスし、先程作成したSecretの削除をおこないます
目的
MySQLを対象に、Dynamic Secret の設定を行い、利用してみます
参照ドキュメント
- Akeyless Documentation
- WORKING WITH SECRETS
- Akeyless Tutorial
手順
Target の作成
まずは、"Target"の作成をおこないます。今回の例ですと対象のDBのIP address, port, データベース名や、一時的なアカウント作成に必要な権限を持ったID、password 等の情報の設定を行います
"Target" > "Next"をクリックします
"MySQL"を選択し、"Next"をクリックします
Nameを入力します(任意: 例 "mysqlTarget")
"Next"をクリックします
DB管理者権限の Username、 Password、DBのHostname(または IP address)、DBのNameを入力します
"Next"をクリックします
"Next"をクリックします
”Target"が作成されました
Dynamic Secretの作成
次に Dynamic Secretの作成を行います
"Items" > "New" > "Dynamic Secret" を選択します
"MySQL"を選択し、"Next"をクリックします
"Name"(任意: 例"mysqlDS")を入力します
"Target Mode"の"Choose an existing taget"のリストから、先程、作成した"Target"(例: "/mysqlTarget")を選択します
(画面の下半分へスクロールします)
"Gateway"で"This Gateway"("defaultCluster")をリストから選択します
"Finish"をクリックします
Dynamic Secretが作成されたことを確認します
"Get Dynamic Secret"をクリックします
作成された Dynamic Secretの Userame, Password が取得できました
"Expire in”で、このDynamic Secret の有効な残り時間が確認できます
今回は Defaultの60分で作成しています。60分経過すると、このDynamic Secretは自動的に削除されます
Akyless CLIからも取得できます
$ akeyless dynamic-secret get-value --name /mysqlDS
{
"id": "tmp_p-4ca2_h1MJg",
"password": "62k@dyNt=hIvb@BI",
"ttl_in_minutes": "60",
"user": "tmp_p-4ca2_h1MJg"
}
$
Rotated Secretの作成
Akeyless Gatewayから、"Target"に指定した MySQLへ管理者権限でログインし、Dynamic Secret として、MySQLの新規アカウントを作成及び削除ができるようになりました
しかしながら、"Target"で使用した管理者権限のアカウントのセキュリティへの懸念が残ります。Rotated Secret を用いることにより、特定アカウント(今回の例ではMySQL管理者"root")のパスワードの変更を特定間隔で自動的に行うことができます
実際に Rotated Secretの作成を行ってみます
"Items" > "New" > "Rotated Secret" を選択します
"MySQL"を選択し、"Next"をクリックします
"Name"(任意: 例"mysqlRS")を入力します
"Next"をクリックします
"Target"のリストから、作成した"Target"(例: "/mysqlTarget")を選択します
"Rotator Type"から"Target"を選択します
"Gateway"で"This Gateway"("defaultCluster")をリストから選択します
"Finish"をクリックします
Rotated Secretが作成されたことを確認します
"Auto Rotate"で指定された間隔で Password が更新されるようになりました
CLIからマニュアルで Rotate (パスワード更新)を行ってみます
$ akeyless gateway-rotate-secret -n /mysqlRS
The Rotated Secret named /mysqlRS was successfully rotated
更新されたパスワードを確認します
$ akeyless get-rotated-secret-value -n /mysqlRS
{
"value": {
"password": "QSH~pb1a48A1J=85",
"username": "root"
}
}
Akeyless Gateway コンソールから確認します
"Versions"をクリックします
Version 2 の"目"のアイコンをクリックします
更新されたパスワードを確認します
