GH GambleHub

गुप्त प्रबंधन

गुप्त प्रबंधन

1) क्यों और वास्तव में हम एक "रहस्य" मानते हैं

गुप्त - कोई भी सामग्री जिसका प्रकटीकरण सिस्टम या डेटा के साथ समझौता करने की ओर ले जाता है: पासवर्ड, एपीआई टोकन, OAuth/JWT निजी कुंजी, SSH कुंजियाँ, प्रमाणपत्र, एन्क्रिप्शन कुंजी (KEEK K/D), विक्रेता कुंजी (भुगतान, मेल/एसएमएस प्रदाता), कुकी लवण/काली मिर्च, बॉट/चैट टोकन, लाइसेंस।

रहस्य कोड में रहते हैं, एक कॉन्फिग, एक पर्यावरण, कंटेनर छवियां, सीआई/सीडी, टेराफॉर्म/एनीबल, लॉग/डंप - रहस्यों के प्रबंधन का एक कार्य: खाता → भंडारण → डिलीवरी → उपयोग → रोटेशन → ऑडिट → ऑडिट → उपयोग।

2) वास्तुकला सिद्धांत

केंद्रीकरण। भंडारण, जारी करने और ऑडिटिंग के लिए एक विश्वसनीय परत (वॉल्ट/क्लाउड सीक्रेट मैनेजर/केएमएस)।

कम से कम विशेषाधिकार (PoLP)। न्यूनतम अवधि के लिए केवल आवश्यक सेवाओं/भूमिकाओं तक पहुंच।

लघु जीवन। TTL/लीज के साथ गतिशील/समय रहस्य पसंद किए जाते हैं।

क्रिप्टो-चपलता। डाउनटाइम के बिना एल्गोरिदम/कुंजी लंबाई बदलने की क्षमता।

कोड/छवियों से रहस्यों को अलग किया जा रहा है। रिपॉजिटरी में कोई कूटशब्द नहीं, कोई डॉकर छवि नहीं।

अवलोकन और लेखा परीक्षा। रहस्य जारी करने/पढ़ने के प्रत्येक ऑपरेशन को लॉग इन और डिलीट किया जाता है।

स्वचालित घुमाव। रोटेशन पाइपलाइन में एक प्रक्रिया है, मैनुअल क्रिया नहीं।

3) विशिष्ट समाधान और घटक भूमिकाएँ

केएमएस/एचएसएम। रूट ट्रस्ट, एन्क्रिप्शन/कुंजी रैपिंग संचालन (लिफाफा)।

गुप्त प्रबंधक/तिजोरी। गुप्त संस्करण स्टोर, एसीएल, ऑडिट, गतिशील रहस्य (डीबी, क्लाउड-आईएएम, पीकेआई), रोटेशन टेम्पलेट।

PKI/CA। अल्पकालिक mTLS/SSH/JWT हस्ताक्षर जारी करना।

एजेंट/साइडकार। रनटाइम के लिए रहस्यों की डिलीवरी (tmpfs, इन-मेमोरी k/v, हॉट-रीलोड फ़ाइलें)।

सीएसआई ड्राइवर/ऑपरेटर। Kubernetes के साथ एकीकरण (गुप्त स्टोर CSI ड्राइवर, प्रमाणित-प्रबंधक)।

Git में एन्क्रिप्शन परत। SOPS/आयु, गिट-क्रिप्ट (बुनियादी ढांचा कोड के लिए)।

4) वर्गीकरण और नीति

आलोचना (P0/P1/P2) और क्षति की मात्रा (किरायेदार-स्कोप, पर्यावरण-स्कोप, ऑर्ग-वाइड) द्वारा अलग रहस्य। प्रत्येक वर्ग के लिए, उल्लेखित

टीटीएल/लीज और रोटेशन आवृत्ति;

आउटपुट विधि (गतिशीलता बनाम स्थिर), प्रारूप, मीडिया;

अभिगम नीति (कौन/कहां/कब/क्यों), एमटीएलएस और आपसी प्रमाणीकरण आवश्यकताएं;

ऑडिट (कि हम लॉग करें कि हम कितना स्टोर करते हैं, जो समीक्षा करता है);

ब्रेक-ग्लास प्रक्रियाएं और याद करते हैं

5) गुप्त जीवन चक्र

1. निर्माण: मेटाडेटा (मालिक, टैग, स्कोप) के साथ गुप्त प्रबंधक एपीआई के माध्यम से।

2. भंडारण: एन्क्रिप्टेड (लिफाफा: DEK KMS/HSM से KEK के साथ लिपटा हुआ)।

3. वितरण: एक अधिकृत इकाई (OIDC/JWT, SPIFFE/SVID, mTLS) के अनुरोध पर।

4. उपयोग: विशेष रूप से स्मृति में/tmpfs में; लॉगिंग/डंप का निषेध।

5. रोटेशन: टीटीएल या घटना (समझौता) द्वारा; समानांतर संस्करणों के लिए समर्थन (N-1)

6. रिकॉल/ब्लॉकिंग: लक्ष्य प्रणाली में पट्टे, खाता/कुंजी विकलांगता की तत्काल समाप्ति।

7. निपटान: संस्करणों/सामग्री का विनाश, स्पष्ट लेखा परीक्षा श्रृंखला।

6) गतिशील रहस्य (डिफ़ॉल्ट रूप से अनुशंसित)

विचार: रहस्य थोड़े समय के लिए जारी किया जाता है और स्वचालित रूप से समाप्त हो जाता है उदाहरण:
  • TTL 15-60 मिनट के साथ डेटाबेस क्रेडेंशियल्स (Postgres/MySQL)।
  • सेवा भूमिका द्वारा अस्थायी क्लाउड कुंजी (AWS/GCP/Azure)।
  • SSH प्रमाणपत्र (5-30 मिनट), X.509 प्रमाणपत्र (घंटा/दिन)।
  • अनुरोध पर हस्ताक्षर करने के लिए अस्थायी JWT, सत्र-टिकट दलाल।
  • पेशेवरों: न्यूनतम विस्फोट त्रिज्या, सरलीकृत याद (दुनिया में कुछ भी "नहीं रहेगा")।

7) रनटाइम में रहस्यों की डिलीवरी

कुबेरनेट्स:
  • सीक्रेट स्टोर CSI ड्राइवर - बाहरी प्रबंधक से पॉड फ़ाइलों (tmpfs) के रूप में बढ़ ते रहस्य।
  • एकमात्र स्रोत के रूप में Kubernetes सीक्रेट से बचें (base64 ≠ एन्क्रिप्शन); यदि आवश्यक हो, तो केएमएस प्रदाता को आदि के लिए सक्षम करें।
  • ऑटो-रेनेवल लीज और हॉट-रीलोड के साथ सिडकार एजेंट (वॉल्ट एजेंट/सीक्रेट्स स्टोर)।
  • वीएम/नंगे धातु: सिस्टम एजेंट + एमटीएलएस से वॉल्ट/सीक्रेट मैनेजर, मेमोरी में कैश, न्यूनतम टीसीबी।
  • सर्वरलेस: पर्यावरण चर/फ़ाइलों के रूप में रहस्यों के पारदर्शी प्रतिस्थापन के साथ बादल एकीकरण, लेकिन लंबे समय तक रहने वाले एनवार्स से बचें - अधिमानतः फ़ाइलें/मेमोरी में।

उदाहरण (Kubernetes + CSI, वैचारिक रूप से)

yaml apiVersion: v1 kind: Pod metadata: { name: app }
spec:
serviceAccountName: app-sa # is associated with a role in Secret Manager volumes:
- name: secrets csi:
driver: secrets-store. csi. k8s. io readOnly: true volumeAttributes:
secretProviderClass: app-spc containers:
- name: app volumeMounts:
- mountPath: /run/secrets name: secrets readOnly: true

8) CI/CD और IaC एकीकरण

CI: श्रमिकों को OIDC (वर्कलोड आइडेंटिटी) के अनुसार अल्पकालिक टोकन प्राप्त होते हैं। लॉग में मिलने वाले "नकाबपोश" रहस्यों पर प्रतिबंध; चरण "लीक स्कैन" (trufflehog/gitleaks)।

सीडी: डिस्प्ले के समय रहस्य लेता है, उन्हें कलाकृतियों में नहीं लिखता है।

IaC: Terraform सीक्रेट मैनेजर में चर स्टोर करता है; राज्य एन्क्रिप्टेड है और पहुंच प्रतिबंधित है।

SOPS/age: repos के लिए - एनक्रिप्टेड मैनिफ़ेस्ट, कुंजियाँ - KMS के नियंत्रण में।

उदाहरण (SOPS टुकड़ा)

yaml apiVersion: v1 kind: Secret metadata: { name: app }
data:
PASSWORD: ENC[AES256_GCM,data:...,sops:...]
sops:
kms:
- arn: arn:aws:kms:...
encrypted_regex: '^(data    stringData)$'
version: '3. 8. 0'

9) अभिगम नीतियां और कार्यभार प्रमाणीकरण

वर्कलोड पहचान: SPIFFE/SPIRE, Kubernetes SA→OIDC→IAM - роль, mTLS।

अस्थायी टोकन: छोटा टीटीएल, संकीर्ण दायरा।

गुप्त प्रबंधक में ABAC/RBAC: "जो Y वातावरण में X रहस्य पढ़ सकता है" "कौन बना सकता है/घुमा सकता है" से अलग है।

मल्टी-टेनेंसी: अलग-अलग नेमस्पेस/की-रिंग्स प्रति किरायेदार; व्यक्तिगत नीतियां और रिपो

10) रोटेशन, संस्करण और संगतता

गुप्त आईडी और इसके संस्करण ('सीक्रेट/ऐप/db # v17') को अलग करें।

नॉन-स्टॉप रोटेशन के लिए दो सक्रिय संस्करण (N और N-1) का समर्थन करें।

रोटेशन घटना-आधारित है: बर्खास्तगी, समझौता, प्रदाता का परिवर्तन, एल्गोरिदम का प्रवास।

स्वचालित: क्रोन/बैकेंड रोटेशन वॉल्ट/सीक्रेट मैनेजर + वेबहुक में अनुप्रयोग पुनः प्रारंभ/पुनर्नवीनीकरण के लिए ट्रिगर।

मिनी रेसिपी "टू-की" वेबहुक रोटेशन

text
T0: we publish two secrets in the provider: current, next
T1: the application starts accepting signatures by both current and next
T2: external system switches signature to next
T3: we do next -> current, re-release new next

11) ऑफ-रनटाइम स्टोरेज: बैकअप और कलाकृतियाँ

कलाकृतियों में कभी न जाएं (चित्र, लॉग अभिलेखागार, डंप)।

गुप्त प्रबंधक बैकअप - एन्क्रिप्ट, एक ही लूप के बाहर भंडारण कुंजी (कर्तव्यों का पृथक्करण)।

टैग और डीएलपी स्कैन: S3/Blob/GCS, Git, CI कलाकृतियों में रहस्यों का पता लगाना।

12) अवलोकन, ऑडिट और एसएलओ

मेट्रिक्स: मुद्दों/गुप्त/सेवा की संख्या, समाप्त पट्टे का हिस्सा, औसत टीटीएल, रोटेशन समय, अभिसरण समय (नए संस्करण को "स्वीकार" करने से पहले सेकंड/मिनट)।

लेखा परीक्षा लॉग: कौन/क्या/कब/कहाँ/क्यों; भंडारण अलग से, एन्क्रिप्टेड भी।

SLO: 99% आउटपुट <200 ms; लॉग में 0 लीक; 100% रहस्यों के मालिक/टीटीएल/टैग हैं; 100% महत्वपूर्ण रहस्य - गतिशील या रोटेशन ≤ 30 दिन।

अलर्ट: गुप्त समाप्ति <7 दिन (स्थिर के लिए), भंडारण में प्रमाणीकरण विफलताओं में स्पाइक, कोई गुप्त पढ़ ता है> एन दिन (मृत), अप्रत्याशित भू/एएसएन स्रोत।

13) बार-बार गलतियाँ और उनसे कैसे बचें

गिट/इमेजरी में रहस्य। एसओपीएस/आयु और स्कैनर का उपयोग करें; "नंगे" लाइनों को प्रतिबंधित करने की नीति।

एक दीर्घकालिक माध्यम के रूप में एनवायर्स। tmpfs/इन-मेमोरी फ़ाइलों को वरीयता दें; कांटे/डंप पर पर्यावरण को साफ करें।

देव/चरण/प्रोड के लिए समान रहस्य। पर्यावरण से विभाजित करें।

लंबे समय तक स्थिर पासवर्ड। गतिशील/अल्पकालिक पर स्विच करें।

हर चीज के लिए एक एकल मास्टर कुंजी। "किरायेदार/परियोजना/सेवा द्वारा विभाजित करें।

कोई हॉट-रीलोड नहीं। अनुप्रयोग को फिर से शुरू करने की आवश्यकता है - रोटेशन के दौरान भेद्यता विंडो।

14) एकीकरण के उदाहरण (योजनाबद्ध)

तिजोरी गतिशील पोस्टग्रेस एक्सेस

hcl
Vault: role -> issues the user to the database with TTL 30m and privileges only to the app path "database/creds/app-role" {
capabilities = ["read"]
}
Application requests/database/creds/app-role -> receives (user, pass, ttl)

अनुरोधों का JWT हस्ताक्षर (अल्पावधि)

निजी कुंजी गुप्त प्रबंधक में संग्रहीत है; सेवा एक अल्पकालिक साइनिंग-टोकन का अनुरोध करती है और स्थानीय एजेंट पेलोड पर हस्ताक्षर करता है (कुंजी को स्ट्रिंग के रूप में आवेदन में पारित नहीं किया जाता है)।

प्रशासन के लिए एसएसएच प्रमाणपत्र

एसएसओ (ओआईडीसी) के माध्यम से 10 मिनट के लिए एसएसएच-सर्टिफिकेट जारी करना, स्थायी कुंजी वितरित किए बिना।

15) किनारों के आसपास सुरक्षा

लॉग/ट्रेल्स/मेट्रिक्स: सैनिटाइज़र, ज्ञात कुंजी/पैटर्न के लिए फ़िल्टर; "गुप्त" क्षेत्र - एपीएम में मास्किंग।

डंप/क्रैश रिपोर्ट: डिफ़ॉल्ट रूप से काटें; यदि आवश्यक हो - एन्क्रिप्ट और साफ।

क्लाइंट एप्लिकेशन/मोबाइल: ऑफ़ लाइन सीक्रेट्स को कम से कम करें, प्लेटफ़ॉर्म स्टोरेज (Keychain/Keystore), डिवाइस बाइंडिंग, TLS-pining आपातकालीन रोलिंग के साथ उपयोग करें।

16) अनुपालन

पीसीआई डीएसएस: एन्क्रिप्शन के बिना पैन/रहस्यों को संग्रहीत करने पर प्रतिबंध; सख्त पहुंच नियंत्रण और रोटेशन।

आईएसओ 27001/SOC 2 - एसेट मैनेजमेंट, लॉगिंग, एक्सेस कंट्रोल, रिकॉनफिगरेशन आवश्यकताएं

GDPR/स्थानीय नियामक: कम से कम, आवश्यकतानुसार पहुंच, ऑडिट।

17) प्रक्रियाएं और रनबुक

कमीशनिंग

1. रहस्यों की सूची (भंडार, सीआई, चित्र, रनटाइम, बैकअप)।

2. वर्गीकरण और टैग (मालिक, पर्यावरण, किरायेदार, रोटेशन-नीति)।

3. वॉल्ट/क्लाउड एसएम + केएमएस/एचएसएम एकीकरण।

4. कार्यभार पहचान (OIDC/SPIRE) द्वारा आउटपुट सेट करें।

5. DB/Cloud/PKI के लिए गतिशील रहस्य सक्षम करें।

6. ऑटो-रोटेशन और हॉट-रीलोड; समाप्ति पर अलर्ट।

7. लीक स्कैनर और डेटा कैटलॉग/ईटी की स्थापना।

आपातकालीन परिदृश्य

संदिग्ध लीक: एक्सेस स्टॉप लिस्ट, तत्काल रोटेशन, रिवोक सर्टिफिकेट/कीज़, री-इश्यू टोकन, बढ़ी हुई ऑडिटिंग, आरसीए को सक्षम करें।

गुप्त प्रबंधक उपलब्ध नहीं है: कम टीटीएल के साथ स्थानीय कैश, फ़ंक्शन क्षरण, नए कनेक्शन का प्रतिबंध, मैनुअल ब्रेक-ग्लास चरणों के साथ।

रूट कुंजी समझौता: कुंजी-पदानुक्रम पुनर्जनन, सभी डीईके को फिर से लपेटें, जोखिम खिड़की के लिए सभी एक्सपोज़र की जाँच करें।

18) चेकलिस्ट

बेचने से पहले

  • कोड/छवियों से हटाए गए रहस्य; लीक स्कैनर में शामिल थे।
  • गतिशील तंत्र महत्वपूर्ण रहस्यों के लिए सक्षम हैं।
  • हॉट-रीलोड के साथ साइडकार/CSI/tmpfs के माध्यम से डिलीवरी, कोई टिकाऊ दूत नहीं।
  • आईएएम/एबीएसी नीतियों को कॉन्फ़िगर किया गया, पहचान कार्यभार के लिए बाध्य।
  • संगतता के लिए ऑटो-रोटेशन और दोहरे संस्करण (एन, एन -1)।
  • मेट्रिक्स/अलर्ट/ऑडिट सक्षम; गिरावट परीक्षण पास हुआ।

ऑपरेशन

  • मासिक रिपोर्ट: मालिक, टीटीएल, समाप्त रहस्य, अप्रयुक्त।
  • रिसाव पथ (लॉग, डंप, कलाकृतियां) के आवधिक घूर्णन और प्रवेश परीक्षण।
  • क्रिप्टो-चपलता योजना और सीए/जड़ों के आपातकालीन प्रतिस्थापन।

19) एफएक्यू

प्रश्न: क्या केएमएस के बिना गुप्त प्रबंधक पर्याप्त है?

A: मूल स्तर के लिए - हाँ, लेकिन लिफाफा एन्क्रिप्शन का उपयोग करना बेहतर है: KEK KMS/HSM में, रहस्य - लिपटा हुआ। यह प्रतिक्रिया और अनुपालन को सरल बनाता है।

प्रश्न: क्या चुनना है - स्थिर या गतिशील?

A: डिफ़ॉल्ट गतिकी है। केवल स्थिर छोड़ दें जहां कोई समर्थित प्रदाता नहीं हैं, और टीटीएल को दिन/घंटे + स्वचालित रोटेशन तक लिखें।

प्रश्न: माइक्रोसर्विस में सुरक्षित रूप से रहस्य कैसे फेंकें?

: वर्कलोड पहचान mTLS सीक्रेट मैनेजर साइडकार/CSI tmpfs + हॉट-रीलोड। कोई लॉग नहीं, कोई एनवार्स "हमेशा के लिए।"

प्रश्न: क्या मैं कुबेरनेट्स सीक्रेट में रहस्य रख सकता हूं?

A: केवल केएमएस प्रदाता और सख्त नीतियों के साथ सक्षम आदि एन्क्रिप्शन के साथ। बाहरी भंडारण और सीएसआई पसंद करें।

प्रश्न: आप किरायेदार की पहुंच को "क्रिप्टो-मिटाओ" कैसे करते हैं?

A: गुप्त प्रबंधक में अपनी नीतियों को निरस्त/अवरुद्ध करें, सभी पट्टों, कुंजी रोटेशन/उत्थान को अमान्य करें; KMS का उपयोग करते समय - संबंधित KEK के अनव्रैप को अक्षम करें।

संबंधित सामग्री:
  • "बाकी एन्क्रिप्शन में"
  • "ट्रांजिट एन्क्रिप्शन में"
  • "प्रमुख प्रबंधन और घूर्णन"
  • "S2S प्रमाणीकरण"
  • "हस्ताक्षर करें और निवेदन सत्यापित करें"
Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

Telegram
@Gamble_GC
इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।