본론
Vault Radar는 코드에서 관리되지 않는 비밀을 자동으로 감지하는 도구입니다.
그 중에서도 HCP* Vault Radar는
다양한 Datasource로부터 비식별화된 비밀, PIL, NIL, 패턴매칭 들을 탐지하고
이를 GUI 형태로 시각화하고 Slack, PagerDuty 등으로 알림을 보낼 수 있습니다.
HCP*
HashiCorp Cloud Platform으로서
HashiCorp 사의 다양한 제품군을 SaaS 형태로 사용이 가능합니다.
Vault는 비밀, PIL, NIL을 기록하는 것이 아니라
스캔 이후 해당 위치(~/example.tf#43line)과 종류 및 위험도를 기록합니다.
또한 이를 기반으로 다양한 민감성 정보에 대한 리뷰 작업을 진행할 수 있습니다.
특히 Vault Radar는
이미 게재된 커밋, 신규 커밋, 신규 풀리퀘스트의 3가지 상황을 모두 감지합니다.
개인적으로 간단한 PoC에서 느낀 강력한 강점은 다음과 같습니다.
쉬운 사용법 : 전문지식이 없어도 편하게 사용이 가능합니다.
강력한 감지 성능 : 모든 브런치, 코드 조각에서 환경변수 등이 감지됩니다.
전체 실습시간은 30분 이내,
결과 레포트를 받는 데에는 1시간 이내가 소요되기 때문에
Confluence, GitHub 등에 손쉬운 보안 감사를 원한다면
빠르게 PoC 해보는 것도 좋을 것 같습니다.
개인 사용자라면 더 편하게 적용해봐도 좋을 것 같습니다.
사전 준비
HCP Vault Radar를 사용하기 위해서는 Organization 및 Projects가 필요합니다.
이름의 변경에 따란 추가 작업이 발생할 수 있으므로 신중히 결정하는 것이 좋습니다.
HCP Organization 생성하기
HCP Project 생성하기
생성된 Org, Project 에서 Vault Radar (beta) 이동하기
Public Beta 상태인 Vault Radar (beta) 시작하기
HashiCorp는 현재 Beta 런칭 중입니다.
따라서 2개의 Datasource의 50개 저장소에 대해서 무료로 사용 가능합니다.
GitHub 감사하기
HCP Vault Radar가 활성화되었다면,
원하는 Datasource를 추가하고 5분 ~ 1시간 정도 기다리면 스캔이 완료됩니다.
스캔 대상이 많으면 지연시간이 있기 때문에 추가해놓고 다른 일을 하는 것이 좋습니다.
본 문서에서는 GitHub과 연동해보겠습니다.
Vault Radar - Data Sources - HCP Cloud Scan 추가하기
HCP Vault Radar의 GUI에서는 2종류의 스캔을 지원합니다.
Agent Scan은 퍼블릭 엑세스가 불가능한 폐쇄망에 적합한 것 같습니다.
저희는 HCP Cloud Scan을 사용할 것입니다.Configure GitHub Cloud 설정 완료하기
Vault Radar가 가동되기 위한 권한은
해당 페이지의 2. Generate your… 링크에 이미 설정되어 있습니다.
해당 권한에 맞춰 설정하되 EXPIRED TIME을 만드시 설정하도록 합시다.
적용을 원하는 모든 저장소를 추가하거나 선택하고 Finish 클릭하기
프리티어에서 사용가능한 총량은 2 Datasource, 50 Repository 입니다.
또한 많은 용량을 한꺼번에 추가할 경우 초기 스캔이 오래걸릴 수 있습니다.