Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Terraform_Vault紹介F5-NGINX_Community-20200805

129 views

Published on

Terraform_Vault紹介F5-NGINX_Community

Published in: Engineering
  • Be the first to comment

Terraform_Vault紹介F5-NGINX_Community-20200805

  1. 1. F5 / NGINX community DevSecOpsに貢献するTerraform+Vaultの紹介 伊藤仁智 HashiCorp, Sr. Solution Engineer Copyright © 2020 HashiCorp
  2. 2. 伊藤仁智(Masa Ito) Sr. Solutions Engineer at HashiCorp masa@hashicorp.com
  3. 3. Copyright © 2018 HashiCorp Company overview 3 ミッション キー製品 設立 2012 by Mitchell Hashimoto and Armon Dadgar (HashiCorp Japanは2018年9月発足) Unlocking Cloud Operating Model. CEO Dave MacJannet
  4. 4. ハイブリッドなインフラへのシフト Traditional Datacenter “Static” Modern Datacenter “Dynamic” Dedicated Infrastructure Private Cloud 専用マシン       → オンデマンド AWS Azure GCP ...+ + +
  5. 5. © 2018 HashiCorpTERRAFORM PRINCIPLE 5 Terraform: Infrastructure as Code ● インフラの「望むべき姿」をコード化 ● Terraformが「望むべき姿」を構築 ● 200を超えるProvider ● 「誰」が「いつ」実行しようと「望むべき姿」が構築される ● ヒューマンエラーを防ぐ ● Policy as Codeでコンプライアンスやガバナンスを強化 ● GitOpsでコードを中心にチームコラボレーション
  6. 6. プロビジョニングのワークフローを統一
  7. 7. Application Deliveryのライフサイクル 新しいアプリケーショ ンを開発 APP DEVELOPER チケットベースでサー バー申請 SERVER ADMIN アプリケーションへの FQDNを作成 NETWORK ADMIN IPアドレスのアサイン アプリケーションを ロードバランサーへ登 録 ポートの設定 ヘルスチェック 運用&監視 OPERATOR
  8. 8. Application Deliveryのライフサイクル 新しいアプリケーショ ンを開発 APP DEVELOPER チケットベースでサー バー申請 SERVER ADMIN アプリケーションへの FQDNを作成 NETWORK ADMIN IPアドレスのアサイン アプリケーションを ロードバランサーへ登 録 ポートの設定 ヘルスチェック 運用&監視 OPERATOR とある会社によると 22週・・・
  9. 9. Application Deliveryのライフサイクル 新しいアプリケーショ ンを開発 APP DEVELOPER チケットベースでサー バー申請 SERVER ADMIN アプリケーションへの FQDNを作成 NETWORK ADMIN IPアドレスのアサイン アプリケーションを ロードバランサーへ登 録 ポートの設定 ヘルスチェック 運用&監視 OPERATOR とある会社によると 22週・・・
  10. 10. 新しいApplication Delivery 新しいアプリケーショ ンを開発 APP DEVELOPER サーバーやネットワー クの構築は Terraform でプロビジョニング SERVER ADMIN NETWORK ADMIN Terraformコードその ものがリファレンス ロードバランサーも Terraformで設定 OPERATOR コード化しチーム間で共有
  11. 11. 新しいApplication Delivery 新しいアプリケーショ ンを開発 APP DEVELOPER サーバーやネットワー クの構築は Terraform でプロビジョニング SERVER ADMIN NETWORK ADMIN Terraformコードその ものがリファレンス ロードバランサーも Terraformで設定 OPERATOR 自動化によりスケーラビリティを大幅に向上 Provisioning
  12. 12. クラウドセキュリティ Traditional Datacenter “Static” Modern Datacenter “Dynamic” Dedicated Infrastructure Private Cloud AWS Azure GCP ...+ + +
  13. 13. クラウドセキュリティ Traditional Datacenter “Static” Modern Datacenter “Dynamic” Dedicated Infrastructure Private Cloud AWS Azure GCP ...+ + + High Trust IP-based    → Low Trust Identity-based
  14. 14. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR PKIAPI IdentityやRoleによって様々なシステムと連携
  15. 15. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR PKIAPI ApplicationもインフラもSecretが必要
  16. 16. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR PKIAPI ApplicationもインフラもSecretが必要 これらのSecretを ● どこで管理しますか? ● どうやってアクセスさせますか? ● 暗号化していますか? ● 漏れたときどうしますか?
  17. 17. Copyright © 2018 HashiCorp じゃあどうするか? 17 1. Secretの中央管理(Centralization) 2. 暗号化(Encryption) 3. 認証(Authentication) 4. 認可(Authorization) 5. 鍵交換(Rotation)
  18. 18. Copyright © 2018 HashiCorp じゃあどうするか? 18 1. Secretの中央管理(Centralization) 2. 暗号化(Encryption) 3. 認証(Authentication) 4. 認可(Authorization) 5. 鍵交換(Rotation) これ全部Vaultで出来ます
  19. 19. Copyright © 2018 HashiCorp 19 信頼できるアイデンティティに対して、安全にシークレットを提供する 認証 アイデンティティによるアクセス シークレットエンジン ポリシーに基づいたシークレット管理 クライアント
  20. 20. Copyright © 2018 HashiCorp 20 信頼できる認証基盤との連携 信頼できる認証基盤で認証 Authentication 認証 アイデンティティによるアクセス シークレットエンジン ポリシーに基づいたシークレット管理 クライアント
  21. 21. Copyright © 2018 HashiCorp 21 Tokenの取得 認証 アイデンティティによるアクセス シークレットエンジン ポリシーに基づいたシークレット管理 クライアント Token ポリシー • シークレットエンジンへのアクセス • APIエンドポイントへのアクセス アプリやシステムへのアクセスを認可 Authorization 信頼できる認証基盤で認証 Authentication
  22. 22. Copyright © 2018 HashiCorp 22 シークレットのリクエスト 認証 アイデンティティによるアクセス シークレットエンジン ポリシーに基づいたシークレット管理 クライアント Token アプリやシステムへのアクセスを認可 Authorization ポリシー • シークレットエンジンへのアクセス • APIエンドポイントへのアクセス 信頼できる認証基盤で認証 Authentication
  23. 23. Copyright © 2018 HashiCorp 23 シークレットの取得 認証 アイデンティティによるアクセス シークレットエンジン ポリシーに基づいたシークレット管理 クライアント Token アプリやシステムへのアクセスを認可 Authorization サービスの提供 ▪ 静的シークレット ▪ 動的シークレット ▪ 証明書 ▪ 暗号化サービス シークレット ポリシー • シークレットエンジンへのアクセス • APIエンドポイントへのアクセス 信頼できる認証基盤で認証 Authentication
  24. 24. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR PKIAPI SecurityチームによるSecretの中央管理 認証 認可 SECURITY OPS
  25. 25. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR PKIAPI まとめ SECURITY OPS プロビジョニングのワークフローを統一 シークレット管理のワークフローを統一
  26. 26. APP DEVELOPER SERVER ADMIN NETWORK ADMIN OPERATOR PKIAPI まとめ SECURITY OPS プロビジョニングのワークフローを統一 シークレット管理のワークフローを統一 DevSecOpsの成功
  27. 27. ありがとうございました。 masa@hashicorp.com sales_japan@hashicorp.com learn.hashicorp.com hashicorp.com/events 27

×