Vault Radar로 Confluence 감사하기

본론

Vault Radar는 코드에서 관리되지 않는 비밀을 자동으로 감지하는 도구입니다.
그 중에서도 HCP Vault Radar는 다양한 출저로부터 비밀을 감지할 수 있습니다.
지난 시간에는 HCP Vault Radar를 이용해서 GitHub을 감사하였습니다. - [Ref]

이번 시간에는 HCP Vault Radar를 이용해서 Confluence 감사를 진행하였습니다.
Confluence PoC 결과에서도 쉬운 사용법*이나 강력한 감지 성능* 또한 여전했습니다.

사전 준비

HCP Vault Radar를 사용하기 위해서는 Organization 및 Projects가 필요합니다.
이름의 변경에 따란 추가 작업이 발생할 수 있으므로 신중히 결정하는 것이 좋습니다.

1. HCP Organization 생성하기

2. HCP Project 생성하기

3. 생성된 Org, Project 에서 Vault Radar (beta) 이동하기

4. Public Beta 상태인 Vault Radar (beta) 시작하기

HashiCorp는 현재 Beta 런칭 중입니다.
따라서 2개의 Datasource의 50개 저장소에 대해서 무료로 사용 가능합니다.

Confluence 감사하기

HCP Vault Radar가 활성화 되었다면,
원하는 Datasource를 추가하고 5분 ~ 1시간 정도 기다리면 스캔이 완료됩니다.
스캔 대상이 많으면 지연시간이 있기 때문에 추가해놓고 다른 일을 하는 것이 좋습니다.

1. Vault Radar - Datasource - HCP Cloud Scan 추가하기

   HCP Vault Radar의 GUI에서는 2종류의 스캔을 지원합니다.
   Agent Scan은 퍼블릭 엑세스가 불가능한 폐쇄망에 적합한 것 같습니다.
   저희는 HCP Cloud Scan을 사용할 것입니다.

   

2. Cloud Data Source에서 Confluence 추가하기

   

3. Configure Confluence Cloud 설정 완료하기

   Vault Radar가 페이지를 읽기 위해서 API Key가 필요합니다.
   3. How to create a Confluence API token 페이지에서
   Login in to https://id.atlassian.com/manage-profile/security/api-tokens를
   찾아서 API Key를 등록할 수 있습니다.

   

4. 적용을 원하는 모든 스페이스를 추가하거나 선택하고 Finish 클릭하기

   프리티어에서 사용가능한 총량은 2 Datasource, 50 Space 입니다.
   또한 많은 용량을 한꺼번에 추가할 경우 초기 스캔이 오래걸릴 수 있습니다.