Безопасность
Управление секретами: обзор с выбором ответа
Суть Синтез всего юнита в формате с выбором ответа — устранение утечки, лестница зрелости, короткоживущие динамические креды, envelope encryption и least privilege под давлением реального инцидента.
Высота — путь к senior
НольJuniorMiddleSenior
Ты на senior-высоте — в орбитеШесть вопросов, проходящих через весь юнит. Каждый отражает решение, которое вы принимаете в реальном инциденте, — не определение для пересказа, а компромисс, который надо взвесить, пока ключ ещё живой и им, возможно, уже владеет атакующий.
Цель
Убедитесь, что вы связываете устранение утечки, лестницу зрелости, динамические креды, envelope encryption и least privilege — синтез, к которому вели уроки.
Викторина
Completed
Живой AWS-ключ закоммитили в публичный репозиторий на прошлой неделе. Коллега удалил строку и сделал force-push. Какое действие реально завершает экспозицию?
Heads-up Переписывание истории — это гигиена, а не устранение. Оно не касается клонов, форков и кешей сканеров, у которых блоб уже есть, — ключ остаётся валидным, пока вы не отзовёте его у источника.
Heads-up Смена видимости урезает аудиторию, но не риск: ключ был публичным достаточно долго, чтобы сканеры его забрали (часто за минуту), и он всё ещё валиден. Экспозицию завершает только ротация.
Heads-up Force-push лишь сдвигает верхушку вашего remote. У каждого существующего клона и форка остаётся старый коммит, и вы никогда не подтвердите, что копия не утекла. Удаление — не отзыв.
Викторина
Completed
Команда хранит продовые пароли БД в .env, который раскатывается на каждый сервер и держится вне git через .gitignore. Почему secret manager — следующая ступень и что он даёт такого, чего .env не может?
Heads-up Вне git — это пол, а не цель. .env лежит в открытом виде на каждом ноутбуке и CI-раннере, читается любым, у кого есть доступ к машине, без контроля доступа и без аудита, кто что читал, — именно это и чинит manager.
Heads-up Приложение всё равно получает и использует значение в открытом виде для аутентификации. Manager управляет тем, кто может читать, и фиксирует, что читали, — он не делает пригодный к использованию секрет нечитаемым.
Heads-up Manager, хранящий статическое значение, всё ещё держит долгоживущий секрет, который надо ротировать; он лишь централизует и аудирует хранение. Ротация становится автоматической только при переходе к динамическим секретам.
Викторина
Completed
Сервис берёт динамическую креду БД из Vault с TTL в один час вместо статического пароля. Что реально даёт TTL?
Heads-up Шифрование на проводе — это задача TLS, и оно отдельно от TTL. TTL задаёт, как долго утёкшая креда остаётся валидной, а не наблюдаема ли она в полёте.
Heads-up Лимиты соединений — это пулинг и квоты. Короткий TTL ограничивает время жизни утёкшей креды; о числе соединений он ничего не говорит.
Heads-up Динамические секреты автоматизируют листовые креды, но root- и конфигурационные креды движка остаются долгоживущими и требуют периодической ротации — у Vault для этого есть отдельная операция rotate-root.
Викторина
Completed
Команда шифрует конфиг-блоб на 2 МБ, отправляя весь payload в KMS на каждый запрос, и упирается в лимит частоты запросов KMS. Что меняет envelope encryption?
Heads-up Envelope encryption вообще не прогоняет payload через KMS. KMS лишь оборачивает маленький data key; основной объём шифруется локально этим ключом, так что KMS никогда не видит payload.
Heads-up KMS остаётся в цепочке — он защищает data key, а ключ-шифрующий-ключ никогда не покидает KMS. Вы лишь переносите массовое шифрование локально; data key всё равно должен распаковываться KMS для расшифровки.
Heads-up Envelope encryption ортогонален ротации. Вы всё равно ротируете ключ-шифрующий-ключ в KMS; выигрыш в том, что вы перевёртываете data keys, а не перешифровываете каждый payload.
Викторина
Completed
Аудитор находит один общий API-токен, используемый двенадцатью сервисами и дающий полные admin-права. Сервис отчётности скомпрометирован, атакующий удалил продовую таблицу. Какой принцип это сдержал бы?
Heads-up Шифрование at rest защищает хранимое значение, а не его использование. Сервис расшифровывает и использует токен легально; ущерб пришёл от слишком широких прав и общей идентичности, а не от способа хранения.
Heads-up Стойкость токена останавливает подбор, а не злоупотребление украденной-но-валидной кредой. Взлом использовал настоящий токен с admin-правами, к тому же общий — энтропия не относится ни к одному из провалов.
Heads-up Расписанная ротация сокращает экспозицию, но ничего не делает со слишком широкими правами и невозможностью понять, какой из двенадцати сервисов действовал. Least privilege плюс уникальные идентичности — вот что ограничивает и атрибутирует ущерб.
Викторина
Completed
В шестилетней организации один и тот же ключ Stripe вставлен в четыре репозитория, три CI-системы, две вики и тред в Slack, и никто не знает, какую копию читает каждый сервис. Как это называется и какой устойчивый фикс?
Heads-up Копии — это не избыточность, а неконтролируемые дубликаты. Каждый — отдельная поверхность утечки, и ротация должна попасть в каждую копию, иначе устаревшее значение ломает сервис. Sprawl — это пассив, а не доступность.
Heads-up Ротация делает sprawl хуже: надо найти и обновить каждую разбросанную копию одновременно, иначе что-то сломается. Корень — само дублирование; фикс — централизация к одному источнику, и тогда ротация — единая безопасная операция.
Heads-up Шифрование двенадцати разбросанных копий оставляет двенадцать копий и двенадцать мест для ротации и аудита. Дефект — дублирование по неотслеживаемым местам, а не то, что каждая копия в открытом виде.
Итог
Через весь юнит проходит одна цепочка решений: секрет, попавший в репозиторий, уже утёк, поэтому экспозицию завершает ротация, а не удаление; лестница зрелости идёт от захардкоженного к .env, к manager (шифрование at rest, контроль доступа, аудит) и к динамическим короткоживущим кредам, чей TTL и есть радиус поражения; envelope encryption позволяет KMS защищать данные на масштабе, оборачивая локальный data key вместо вашего payload; least privilege с уникальными идентичностями по сервисам сдерживает и атрибутирует взлом; а secret sprawl лечится единым источником истины, а не новыми копиями. Каждый ответ сводится к ограничению и атрибуции ущерба заранее.