Il Cloud ci pone davanti al problema di gestire dati sensibili come informazioni di configurazione, password di accesso ai database, chiavi API, certificati TLS e molto altro.
La soluzione arriva da Google e si chiama Secret Manager e ti permette di archiviare, gestire ed accedere a “segreti” che altro non sono che blob binari o file di testo che, con gli appropriati permessi, possono essere letti ed utilizzati.
Cerchiamo di illustrare prima alcune definizioni e poi come funziona questo nuovo strumento.
Cos’è un Segreto
Un segreto è un oggetto globale a livello di progetto che contiene un insieme sia di metadati sia di versioni dei segreti. Ogni metadata può includere luoghi di stoccaggio, etichette e permessi. Le versioni del segreto è dove effettivamente vengono salvate le informazioni segrete come credenziali e chiavi.
Cos’è una versione
Come già abbiamo indicato la versione contiene i dati segreti veri e propri come password e certificati. Puoi indirizzare direttamente singole versioni di un segreto ma non puoi modificare una versione, puoi solo eliminarla. Ciò a maggiore garanzia di sicurezza.
Cos’è la rotazione
Puoi ruotare un segreto aggiungendo una nuova versione del segreto al segreto stesso. Come già detto ogni versione di un dato segreto può essere utilizzata. Per prevenire l’uso di una determinata versione di un segreto per un determinato tempo è sufficiente disabilitarla. Chiaramente non sono possibili rotazione automatiche dei segreti.
Come funziona Secret Manager
Per comprendere il processo di funzionamento di Secret Manager partiamo analizzando le funzionalità di un prodotto che, a prima vista, può sembrare similare, vale a dire un Key Management System come Cloud KMS. In questo caso il sistema di gestione delle chiavi ti permette di gestire chiavi crittografiche e di usarle per cifrare e decifrare dati. Tuttavia non permette di estrarre e visualizzare i dati tout court.
Nel gestore delle chiavi hai bisogno di cifrare i dati sensibili prima di trasmetterli o archiviarli e poi hai bisogno di decifrarli prima di utilizzarli. Tutto abbastanza macchinoso quando c’è qualcosa di più speditivo come Secret Manager.
In Secret Manager è il tool che gestisce la cifratura server side (Encryption at rest) per te utilizzando un key management avanzato e hardened ( lo stesso che usa Google per i suoi dati) per garantire audit e controllo totale della sicurezza del dato.
Secret Manager cifra i dati sensibili “at rest” utilizzando una crittografia AES-256, il fatto interessante è che non sono necessarie configurazioni e setup. E’ tutto trasparente per l’utente ed a performance eccezionali, in pratica i dati segreti sono automaticamente decifrati quando se ne ha bisogno, chiaramente con tutti i permessi del caso.
Glue Labs e Secret Manager
Abbiamo soddisfatto numerosi Clienti grazie a Google Cloud. Ti mettiamo a disposizione supporto specialistico e consulenza per la migrazione di servizi legacy ( anche in maniera gratuita) e per la gestione e lo sviluppo in Cloud dei tuoi servizi. Siamo Google Cloud Partner, contattaci subito e senza impegno per un preventivo gratuito.