Nei precedenti blogpost vi ho parlato di cosa è un secrets manager (e del motivo per cui dovreste averne la necessità) ed ho fatto una overview dell'architettura di Conjur e dei suoi system requirements.
Un secrets manager non può fare il suo lavoro se non può parlare con chi ha bisogno di chiedergli i segreti ed è qui che arriva la "magia" di Conjur, gli "authenticator" a cui Conjur demanda le sue funzionalità di autenticazione.
Questa che vi metto qui sotto la lista "grezza" degli authenticators disponibili:
| authn | Defines the Conjur default authenticator. Authentication for both users and hosts is based on an ID and API key. |
| authn-oidc | Leverages the identity layer provided by OIDC to allow applications to authenticate with Conjur and retrieve secrets needed for connecting to services such as a database. |
| authn-iam | Enables an AWS resource to use its AWS IAM role to authenticate with Conjur. |
Enables an Azure resource to authenticate with Conjur | |
Enables an application to authenticate to Conjur using a JWT from a JWT Provider. | |
Enables a Google Cloud Platform resource to authenticate with Conjur | |
| authn-k8s | Authenticates hosts that are Kubernetes resources, such as a Kubernetes namespace, deployment, stateful set, and others. Authentication is certificate-based using a mutual TLS connection. |
| authn-ldap | Authenticates users based on an LDAP directory. |
come si può intuire Conjur è integrabile nativamente con molte delle tecnologie moderne che potete utilizzare a vostro piacimento , per gestirne i secrets in modo sicuro!
Di default dopo l'installazione di Conjur, l'unico authenticator attivo è authn che è in grado di fornire accesso a Conjur ed ai suoi secrets tramite username o API key (generate random fra i 51 e 56 caratteri).
Se però ad esempio dovete però fornire accesso ad applicazioni che risiedono su un cluster Kubernetes attivando authn-k8s potete farlo in modo sicuro tramite una connessione sicura stabilita in mTLS , utilizzando Spiffie secondo lo schema sottostante (qui per approfondire) :
analogamente a quanto fatto per Kubernetes se poi doveste aver la necessità di integrare un identità di qualunque tipo ( ad esempio Google Apigee ) potete ricorrere all'authenticator authn-jwt che lavora come descritto qui secondo lo schema sottostante:
Quindi se dovete quindi fornire secrets in una o più dei seguenti esempi
- Kubernetes (locali o cloud)
- API gateway
- Jenkins
- Ansible
- Puppet
- Terraform
- Cloud services
in modo sicuro e nativo non potete che considerare Conjur rivolgendovi a CyberArk o al vostro partner CyberArk di riferimento.
Nessun commento:
Posta un commento