venerdì 5 agosto 2022

Cyberark Conjur , authenticators e integrazioni

Nei precedenti blogpost vi ho parlato di cosa è un secrets manager (e del motivo per cui  dovreste averne la necessità) ed ho fatto una overview dell'architettura di Conjur e dei suoi system requirements.


Un secrets manager non può fare il suo lavoro se non può parlare con chi ha bisogno di chiedergli i segreti ed è qui che arriva la "magia" di Conjur, gli "authenticator" a cui Conjur demanda le sue funzionalità di autenticazione. 


Questa che vi metto qui sotto  la lista "grezza" degli authenticators disponibili:

authnDefines the Conjur default authenticator. Authentication for both users and hosts is based on an ID and API key. 
authn-oidcLeverages the identity layer provided by OIDC to allow applications to authenticate with Conjur and retrieve secrets needed for connecting to services such as a database.
authn-iamEnables an AWS resource to use its AWS IAM role to authenticate with Conjur.

authn-azure

Enables an Azure resource to authenticate with Conjur

authn-jwt

Enables an application to authenticate to Conjur using a JWT from a JWT Provider.

authn-gcp

Enables a Google Cloud Platform resource to authenticate with Conjur

authn-k8sAuthenticates hosts that are Kubernetes resources, such as a Kubernetes namespace, deployment, stateful set, and others. Authentication is certificate-based using a mutual TLS connection.
authn-ldapAuthenticates users based on an LDAP directory.

come si può intuire Conjur è integrabile nativamente con molte delle tecnologie moderne che potete utilizzare a vostro piacimento , per gestirne i secrets in modo sicuro!

Di default dopo l'installazione di Conjur, l'unico authenticator attivo è authn che è in grado di fornire accesso a Conjur ed ai suoi secrets tramite username o API key (generate random fra i 51 e 56 caratteri). 

Se però ad esempio dovete però fornire accesso ad applicazioni che risiedono su un cluster Kubernetes attivando authn-k8s potete farlo in modo sicuro tramite una connessione sicura stabilita in mTLS , utilizzando Spiffie secondo lo schema sottostante (qui per approfondire) :


analogamente a quanto fatto per Kubernetes se poi doveste aver la necessità di integrare un identità di qualunque tipo ( ad esempio Google Apigee ) potete ricorrere all'authenticator authn-jwt che lavora come descritto qui secondo lo schema sottostante: 




Come potete capire dalla lista sopra degli authenticator , le possibilità che ha Conjur di servire la vostra applicazione o meglio identità verificata in modo sicuro coprono praticamente la totalità dei casi possibili.

Quindi se  dovete quindi fornire secrets in una o più dei seguenti esempi 

  • Kubernetes (locali o cloud) 
  • API gateway
  • Jenkins
  • Ansible
  • Puppet
  • Terraform
  • Cloud services
in modo sicuro e nativo non potete che considerare Conjur rivolgendovi a Cyberark o al vostro partner Cyberark di riferimento.

Nessun commento:

Posta un commento