Participez a notre Workshop: Vault + Zero Trust Security

hashicorp vault

Date: Mardi  30 Novembre
Horraire: 9:00 am – 13:00 pm GMT

Comment obtenir une sécurité évolutive et dynamique sur les clouds

 

Participez à cet atelier pratique de quatre heures pour mieux comprendre l’atelier pratique sur la sécurité zéro confiance et basée sur l’identité.

Au cours de cette session, les participants découvriront le modèle de sécurité HashiCorp qui repose sur le principe de l’accès et de la sécurité basés sur l’identité. Pour qu’une machine ou un utilisateur puisse faire quoi que ce soit, il doit authentifier qui ou ce qu’il est, et son identité et ses politiques définissent ce qu’il est autorisé à faire. Après un aperçu de la sécurité zéro confiance, les participants participeront à un atelier pratique de HashiCorp Vault. HashiCorp Vault permet aux entreprises de stocker, d’accéder et de distribuer de manière centralisée des secrets dynamiques tels que des jetons, des mots de passe, des certificats et des clés de chiffrement dans n’importe quel environnement de cloud public ou privé. Il s’agit d’un atelier pour débutants et aucune expérience n’est requise.

 

De quoi avez besoin :

  • Un ordinateur avec une connexion Internet fiable
  • Une expérience pratique des outils de ligne de commande et de l’infrastructure en tant que code est utile

 

Agenda:

Les places sont limitées – Réservez votre place dès aujourd’hui !

    * Nom

    * Email

    * Utilisez vous Vault?

    What are your security challenges ?

     

    Comment empêcher les fuites de données si les pirates accèdent à votre base de données ?

    Chaque semaine, nous entendons parler du dernier site Web piraté et des pirates informatiques ayant accès à une autre base de données contenant les données personnelles des consommateurs.

    Rien que la semaine dernière, de nombreux cas de piratage ont été signalés, notamment le vol des dossiers médicaux de 290 000 patients du « Mor Medical Institute » et la publication des données d’un million d’abonnés à une application de rencontres populaire.

    Toutes ces informations ont été extraites de bases de données contenant des informations privées et sensibles, qui ont été stockées sur le site Web de manière non sécurisée.

    security

    Les pirates auraient eu accès au serveur IIS (Internet Information Services de Microsoft) en piratant la société d’hébergement, de sorte qu’ils ont eu accès à tous les sites Web hébergés. Ensuite, ils ont contacté le code ainsi que les bases de données, ont obtenu tous les mots de passe – qui ont été exposés sans hachage (par exemple sous forme de texte clair), afin qu’ils puissent accéder à toutes les informations dans les bases de données.

    Il existe une solution simple qui aurait pu empêcher cela

    Une façon de résoudre ce problème, une solution qui est déjà devenue une norme de facto ces dernières années, consiste à utiliser le coffre-fort HashiCorp.

    Il s’agit d’un produit open source populaire, et il existe même une édition gratuite qui est souvent suffisante, tandis que la construction de la solution ne prend pas trop de temps.

    L’utilisation de HashiCorp Vault vous permet de :

    1. Empêchez d’entrer le nom d’utilisateur et le mot de passe de la base de données dans votre code – ce qui empêche l’accès à la base de données même si quelqu’un a accès au code.
    2. Mécanisme de cryptage sans connaître la clé – c’est-à-dire Lorsque vous souhaitez crypter des informations avant qu’elles n’entrent dans la base de données, vous pouvez utiliser Vault de manière à ce que l’application ne soit pas familiarisée avec la clé de cryptage – les informations contenues dans la base de données sont alors inutiles pour les pirates, et même s’ils y ont accès au code – ils ne connaissent pas la clé de cryptage !

    Cela empêcherait l’accès aux données elles-mêmes même si les pirates pouvaient atteindre la base de données, ce qui empêche en fait les pirates d’accéder aux informations importantes et sensibles qu’ils tentent d’obtenir.

     

    Nous (ALM-Toolbox) sommes le représentant officiel de HashiCorp Vault dans de nombreux pays dont la France , et nous proposons des solutions de bout en bout pour Vault.
    Nous pouvons inspecter votre système actuel, planifier une solution adaptée à vos besoins et la mettre en œuvre rapidement.
    Nous fournissons également une assistance continue, notamment un service géré, un SLA, des capacités d’entreprise et des licences d’abonnement d’entreprise.

    Nous proposons également une formation HashiCorp Vault et une formation sécurisée au développement.

    Pour plus de détails, contactez-nous :+33(0)1 84 17 53 28,           devops.fr@almtoolbox.com

    Liens utiles

    Quels sont les défis dans l’auto-développement des capacités Vault Enterprise ?

    Vault Enterprise (ainsi que Vault Self Managed et HCP Vault Cloud) sont actuellement à la pointe de la technologie de gestion des secrets.

    Dans   la vidéo ici (que nous avons également traduite), Andy Manoske,  le chef de produit de Vault, est interviewé expliquant une partie de la complexité du produit et des coulisses, ainsi que ce que cela signifie d’essayer de développer par vous-même les capacités qui n’existent que dans les versions payantes de Vault.

     Regardez la vidéo sur Vault Enterprise (3 minutes) :

    Nous avons ajouté des sous-titres en anglais à cette vidéo et l’avons traduite en français :

    “La mise en œuvre de Vault, en tant que produit, était complexe. Bien qu’il soit facile à utiliser pour les utilisateurs, c’est grâce au fait que les aspects de gestion des clés et de sécurité ont été retirés de la responsabilité des utilisateurs et déplacés vers le côté architectural à travers lequel le produit a été construit.
    Certaines fonctionnalités, telles que la réplication (à des fins de haute disponibilité) sont intrinsèquement complexes. Ils sont complexes à un tel niveau qu’ils nécessitent à la fois une connaissance approfondie et une expertise des problèmes de sécurité, ainsi que beaucoup de temps de développement (entre autres pour prouver que certaines choses sont bien sécurisées de haut niveau). une connaissance approfondie de Vault et de la création de systèmes sécurisés. Mais cela ne signifie pas que nous sommes des scientifiques de fusée.”

    Nous ne sommes pas nécessairement plus intelligents que les autres, mais c’est vraiment en fonction du temps qu’il a fallu passer – et nous l’avons fait. Par exemple, en ce qui concerne la réplication, nous avons investi beaucoup de temps, ce qui vous aide à vous assurer que personne ne piratera le système ou ne le brisera en utilisant un vecteur d’attaque dérivé du fait qu’il s’agit d’une réplication.
    En tant qu’entreprise, il nous a fallu deux ans et demi pour créer une solution de réplication, et cela impliquait de travailler avec ceux qui ont développé le produit de base Vault. On peut donc dire que payer pour Vault Enterprise permet d’économiser au moins deux ans et demi d’auto-développement.

    Vault, en coulisses, est un produit complexe à développer

    La deuxième caractéristique d’un produit que les utilisateurs rencontrent est en fait une question de complexité. Ce que je veux dire, c’est que Vault repousse non seulement les limites de la technologie, mais innove également du côté scientifique de la façon dont nous protégeons les données.
    Des fonctionnalités telles que la réplication, par exemple, sont au premier plan de toute l’informatique décentralisée. Ainsi, lorsque nous créons des fonctionnalités telles que la réplication ou que nous créons des outils pour lesquels Vault doit désormais fonctionner dans un environnement global et pourtant de manière très sécurisée, nous le faisons d’une manière qui nécessite une compréhension très profonde et intime de problèmes tels que l’informatique distribuée et sécurisée. , cryptographie, dans certains cas avec des langages formels et des méthodes formelles. Honnêtement, ce sont des domaines qui sont très difficiles à comprendre. Non seulement à cause de la complexité du sujet, mais aussi parce qu’il est rare de trouver des personnes qui ont des compétences en la matière.

    Heureusement, nous avons des ingénieurs chez HashiCorp qui ont une connaissance approfondie de certains de ces domaines théoriques de l’informatique et des mathématiques appliquées. Mais leur application est nécessaire pour vraiment comprendre et surmonter les défis liés à la réplication, au transit, à de nombreuses fonctionnalités de Vault et en particulier à Vault Enterprise. »

    hashicorp vault enterprise

    Quelques  détails sur Vault vous ignoriez peut-être :

    • Le produit est en développement depuis 2015 Open source basé sur Vault
    • Le produit Vault est actuellement un standard de facto dans le domaine de la gestion des secrets et de la protection des informations sensibles.
    • Le produit a une version gratuite ainsi que des versions Entreprise qui peuvent être auto-installées (même dans le cloud),Et incluez toutes les fonctionnalités de la version gratuite, en plus du support technique du fabricant ainsi que des fonctionnalités supplémentaires telles que la réplication, les espaces de noms, la haute disponibilité, etc.
    • Des milliers d’entreprises à travers le monde utilisent Vault Enterprise (et bien sûr en France aussi )

     

    ALMtoolbox est le distributeur officiel des produits Vault et HashiCorp en France (et dans d’autres pays), et se spécialise également dans la fourniture de services supplémentaires à Vault, notamment:

    • Choix de license  Enterprise selon vos besoins  (achat sur commande avaec paiements)
    • Mises à niveau de la version sécurisée vers Vault
    • HashiCorp Vault Formations
    • Conception de système Vault et son implémentation  dans les serveurs de votre  organisation, dans un cloud privé ou public (comme Kubernetes, AWS, Azure, Google Cloud et plus)
    • Vault Managed Services
    • Intégration avec des outils complémentaires, tels que Terraform, Consul, Kubernetes, Nomad, Sentinel, git, GitLab, Chef, Puppet, Jenkins, Spotinst, Docker, Artifactory et plus Services gérés et centre de support – y compris la possibilité de SLA – même pour de courtes périodes.

    Pour  nous contacter ALMtoolbox :
    Tel 01 84 17 53 28, hashicorp.fr@almtoolbox.com

     

    Liens utiles:

    Quoi de neuf dans HashiCorp Vault 1.8?

    hashicorp vault 1.6

    La version 1.8 a été annoncée il y a quelques jours, avec des améliorations, des mises à jour et de nouvelles fonctionnalités.

    Vault, comme on le sait, assure la gestion des secrets, le cryptage des données et la gestion des identités – pour chaque application et chaque infrastructure.

    Parmi les nouvelles fonctionnalités :
    Nouvelle commande de diagnostic du coffre-fort ; Prise en charge du moteur AWS Key Management Secrets ; Mises à jour du pilote automatique de stockage intégré et plus encore.

    Vault 1.8 se concentre sur l’amélioration des processus de base de Vault et la transformation de certaines des nouvelles fonctionnalités en « Prêt pour la production ».

     Nouvelles fonctionnalités et améliorations majeures :

    N’oubliez pas que certains sont dans la version gratuite et d’autres dans les versions Enterprise (payantes).

    • Vault Diagnose: Added vault operator diagnose command to enable faster troubleshooting and user-friendly diagnostics in situations when Vault is not starting.
    • Integrated Storage Autopilot (Enterprise): Added support for DR secondary clusters to have their own Autopilot configuration managed independently of their primary.
    • Key Management secrets engine for AWS (Enterprise)AWS KMS support is now generally available to assist with automating many lifecycle operations.
    • Expiration manager improvements: Expiration manager is used to manage the lifecycle of leases. Added ability to stop trying to revoke irrevocable leases, added reporting via CLI and API, and automation to clean up older irrevocable leases.
    • Control Group triggers (Enterprise): Added functionality to Vault Control Groups to trigger Control Group approval on a subset of operations, instead of all operations on a path where a Control Group is configured.
    • Licensing updates (Enterprise): Added end-user license agreement (EULA) check and added support for license autoloading.
    • User interface updates (UI): Added UI support for Microsoft SQL Server (MSSQL) and MySQL to the database secrets engine; also added the ability to mask secrets in the UI to reduce secret exposure.

    En outre, il existe de nouvelles fonctionnalités supplémentaires, des améliorations du flux de travail, des améliorations de l’interface utilisateur, des améliorations des performances des fonctionnalités et des correctifs existants
    Vous  pouvez lire la complete  Release Notes et aussi  changelog

     

    Vous voulez en savoir plus sur les dernières fonctionnalités de Vault ?

    Vous pouvez nous contacter :par email hashicorp@almtoolbox.com ou par téléphone) et vous recevrez :

    • Une liste détaillée et à jour de toutes les fonctionnalités du produit
    • Explication des différences entre la version gratuite et la version Entreprise + prix et devis
    • Atelier de formation en video

     

    ALMtoolbox est le distributeur officiel des produits Vault et HashiCorp en France (et dans d’autres pays), et se spécialise également dans la fourniture de services supplémentaires à Vault, notamment:

    • Choix de license  Enterprise selon vos besoins  (achat sur commande avaec paiements)
    • Mises à niveau de la version sécurisée vers Vault
    • HashiCorp Vault Formations
    • Conception de système Vault et son implémentation  dans les serveurs de votre  organisation, dans un cloud privé ou public (comme Kubernetes, AWS, Azure, Google Cloud et plus)
    • Vault Managed Services
    • Intégration avec des outils complémentaires, tels que Terraform, Consul, Kubernetes, Nomad, Sentinel, git, GitLab, Chef, Puppet, Jenkins, Spotinst, Docker, Artifactory et plus Services gérés et centre de support – y compris la possibilité de SLA – même pour de courtes périodes.

    Pour  nous contacter ALMtoolbox :
    Tel 01 84 17 53 28, hashicorp.fr@almtoolbox.com

     

    Invitation à un webinaire: Nouveautés de HashiCorp Vault 1.7 et session Q & A

     

    Vault Edition 1.7 est sorti la semaine dernière,
    Nous avons donc pensé organiser un webinaire avec un expert technique de HashiCorp,
    Il expliquera les nouveautés du produit et répondra également aux questions – le tout en direct.

    Nous accueillerons John Boero – un expert technique sur les produits HashiCorp, qui répondra aux questions (et par conséquent, le webinaire sera en anglais).

    Quand :  Mercredi 21/04 à 11 h00, CET

    Inscription ici:

      * Nom

      * Email

      * Utilisez vous Vault?

      Durée prévue du webinaire: 30 à 40 minutes
      C’estl’occasion d’ecouter un expert technique et de lui poser des questions, ainsi que de vous tenir au courant des nouveautés du produit.
      Ce webinar  convienrt également à ceux qui utilisent déjà les produits et souhaitent connaître les foctinonnalités supplémentaires des produits.

      Nous enregistrerons toutes les sessions et les distribuerons aux abonnés.

      Certaines des nouvelles fonctionnalités se trouvent dans la version gratuite et d’autres uniquement dans la version Enterprise payante.

      La participation est gratuite. le nombre de places est limité.

      Vous pouvez également  voir  les nouveautés de la version 1.7 en cliquant sur le lien sous cet article.

      ALMtoolbox est spécialisée dans le développement et le test pour   DevOps et pour l’amélioration des processus de travail comprenant outils de développement, tests, CI / CD, transfert en production et travail sur le cloud, tels que GitLab, Kubernetes, Spotinst, Terraform, Vault, Consul, Rancher et autres., Nous offrons des services de Consultant et vente de licences d’outils.

      ALMtoolbox est le  représentant officiel de GitLab, Hashicorp  en France et dans d’autres pays.

      Contactez pour nous toute question, un devis ou même une license d’évaluation.ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com

       

       

      Quoi de neuf dans HashiCorp Vault 1.7?

      HashiCorp Vault

      La version 1.7 a été annoncée il y a quelques jours, avec de nouvelles améliorations, mises à jour et fonctionnalités.

      Vault, comme on le sait, s’occupe la gestion des secrets, le cryptage des données et la gestion des identités – pour toute application et toute infrastructure.

      Dans la nouvelle version 1.7, l’accent est mis sur l’amélioration des processus de base de Vault. Ajout du “AutoPilot” qui permet une gestion du stockage interne plus pratique (comme la suppression automatique des serveurs “morts”); Tokenisation qui produit des jetons irréversibles et protège ainsi les informations; et un moteur de secrets de gestion de clés diplômé qui est maintenant au niveau GA; l’agent Vault peut désormais s’exécuter en tant que service Windows; Améliorations des performances et toutes sortes de petites améliorations du produit et plus encore.

      Nouvelles fonctionnalités et améliorations majeures:

      N’oubliez pas que certains sont dans la version gratuite et d’autres dans les versions Enterprise (payant)

      • Integrated Storage Autopilot: Added dead server cleanup, server stabilization for new nodes joining a cluster, and a health check API to our integrated storage backend.
      • Tokenization (Enterprise; ADP Module): Tokenization support is out of technical preview and is now production ready using the Transform Secret Engine. Tokenization creates irreversible “tokens” from sensitive data, thus protecting the original data.
      • Key Management Secrets Engine (Enterprise): The engine is now generally available with support for Azure Key Vault. Support for AWS KMS has been added (beta).
      • Performance and reliability: We have improved how Vault resources are consumed during lease revocations, resulting in better performance. We have also added configurable headers to control the consistency of reads after writes to performance secondary clusters and performance standby nodes. We also added an option to configure the size of the logshipper buffer to control memory utilization when dealing with replication updates to secondary nodes.
      • Database Secrets Engine (UI): Added a UI to configure database secrets engines and dynamic database credential generations for MongoDB.
      • See all the rest here.

      Vous voulez en savoir plus sur les dernières fonctionnalités de Vault?

      Vous pouvez nous contacter (par email ci-dessous) et recevoir:

      • Une liste détaillée et à jour de toutes les fonctionnalités du produit
      • Explication des différences entre la version gratuite et la version Entreprise + prix et devis
      • Formation / atelier enregistré

      Nous sommes ALM-Toolbox, les distributeurs officiels de HashiCorp en Frabce  et dans d’autres pays.

      Nos services:

      • formations pour tous les produits HashiCorp (formation privées pour votre organisation – en particulier sur Vault et Terraform)
      • Aide au choix de la licence la plus appropriée (comment économiser de l’argent sur la licence)
      • Mises à niveau de la version sécurisée vers Vault
      • Conseil en architecture (y compris Kubernetes)
      • Service géré vers Vault
      • Notre support dans les environnements de production avec option SLA

      Contactez pour nous toute question, un devis ou même une license d’évaluation.
      ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com

      Exécution de Vault en tant que service sur HCP

      Nous vous invitons a voir  cette  vidéo expliquant l’exécution de HashiCorp Vault en tant que service cloud géré.
      Vault est un produit standard qui est désormais (de facto) une norme de protection des secrets d’entreprise.
      La vidéo a été enregistrée dans le cadre de la conférence HashiConf.

      Pour votre commodité, nous avons également ajouté le texte intégral sous le film vous pouvez ainsir lire le texte dans une deuxieme fenetre

      Voir la video (14min):

      Nous sommes spécialisés dans le conseil dans la transition vers les microservices tant en termes d’architecture qu’en termes d’infrastructure et de DevOps, et sommes expérimentés dans le démantèlement de monolithes, dans la conception, le téléchargement de solutions de microservices vers le cloud et la conception intégrée Kubernetes et conteneurs.

      ALMtoolbox est le  représentant officiel de GitLab, Hashicorp  en France et dans d’autres pays.

      Contactez pour nous toute question, un devis ou même une license d’évaluation.

      ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com

       

       

      Transcript:

      Welcome to HashiConf Digital 2020 and welcome to the Vault on HashiCorp Cloud Platform (HCP) presentation.

      I’m Rand Fitzpatrick on the product management team here at HashiConf, and I’ll be joined a little bit later by
      Thor Hansen on the engineering team to walk you through a bit of HashiCorp cloud platform’s Vault offering.

      So we’re all relatively familiar with Vault, we’ve got a world-class tool for really helping you manage that transition from static infrastructure and dynamic infrastructure, and provide identity-based access and security
      that’s necessitated to really secure that transition and the changing ephemeral workloads that we demand.

      so HashiCorp delivers an entire stack of tools to help with these workloads across the cloud. Everything from Terraform, Vault, Consul and Nomad, and these all compose extremely well across the various workflows wherever you might use them in whichever cloud.

      hashicorp-delivering-app-workloads

      Vault however has been able to offer us a huge degree of flexibility and capability in making sure that you can
      secure your applications as you scale out and build your environment in a more robust and secure way.

      HashiCorp Vault

      HashiCorp Vault is the world-leading solution for secrets management which is its most well-known capability for managing all of your secrets, credentials everything from PKI and other secure data that you would want to distribute across your application stack.
      It’s also one of the world-leading solutions for data encryption with transit and transform, so all of your encryption workloads, both form preserving and otherwise enabled by Vault within your application path, and also broadly identity-based access to help secure all of your machine-to-machine connections using trusted identities and secure and auditable relationships.

      Zero Trust

      Generally extending this it’s the one machine authorization and authentication point to really connect all of your systems in a zero-trust world through identity-driven control.

      Using Vault has always been a huge boot both on the open-source and enterprise sides. But sometimes it can take a little bit of effort to get up and running and get it customized for your specific use case.
      HCP Vault or HashiCorp Cloud Platform Vault is entering private beta today to help get you directly to day zero of realizing value letting HashiCorp manage the operations and complexity to help you scale this out and get it used in the topologies that suit your application best.

      What is HashiCorp Cloud Platform?

      I know we’ve heard about this earlier today as well as earlier in the year when hcp Console was first announced but the true vision is that it takes care of the push-button deployment, infrastructure management, and multi-cloud workflows that are going to help you extend Hashicorp’s tools where are wherever you are in terms of your cloud deployment journey and scale with you as you grow.

      So push-button deployment, all we need to do to instantiate a Vault cluster for use at this point is come into HCP once we’ve got an HVN which is the HashiCorp Virtual Network just instantiate a cluster and within 10 minutes usually faster we will have spun up a full production scale Vault cluster ready for your use. That infrastructure will be fully managed not only will we have its current state we’ll have its logs, we will have its status, the entire SRE teams for
      HCP will be monitoring and making sure that it’s up to date and keeping it up with patches and version progression,
      so you’re always using the healthiest and most well-secured version of Vault.
      And in terms of really supporting those multi-cloud workflows hcp is going to have the same set of extensible capabilities and well-managed primitives that work wherever you are.

      Now right now HCP is primarily on AWS but we’re rapidly expanding and you’ll be able to deploy this wherever you need your workloads,
      so on top of that hcp platform we’re bringing you hcp Vault which is really our best attempt to offer you Vault ready to go, ready to securely support your dynamic infrastructure.

      We’re going to get a little bit into the specifics before I hand it off to Thor about how we’re actually bringing this to you in a way that’s going to support your infrastructure. So I mentioned earlier that we’ve got HVN these are the HashiCorp wrapper over an isolated network and compute environment we support a fully replicated Vault
      cluster with integrated storage and replication within that environment, and that environment is owned entirely
      by the end-user. The only things running in there end up belonging under an account for that end-user and it’s a
      very secure space.
      The control plane for the HashiCorp cloud platform will exercise command actions that can help reconverge and recover and always make sure that your systems are in a well-running state, and we can scale out from here,
      to make sure that as your capacity needs grow we can increase the horizontal and vertical scalability of these clusters to meet both your storage needs your throughput needs and your processing needs, depending on how your workloads are right across static secrets dynamic secrets, and encryption type workloads.

      Also in these environments are secure snapshots and restore capabilities and audit logging to make sure that as you go through your Vault life cycle we can always make sure that you have the data that you need to recover as well as maintain your audibility and data retention requirements.

      As you connect this with your infrastructure we offer a number of secure pathways everything from the current modality of VPC peering to more direct connections through VPNs and other network topologies this is to make sure that wherever you use your infrastructure HCP Vault can be there to support you, and as I mentioned we really want to focus on getting you to day zero value so instead of working to right-size your cluster working to make sure that your storage and backup workflows are well-executed, you can really just instantiate a Vault cluster; export some environment variables and
      through the Vault client immediately get up and running and connected to your Vault cluster and start using it.

      Vault in Production

      So what does this allow us to do? instead of worrying about all the operations you can jump directly to your production needs you can start focusing on what it means to develop against Vault and get it integrated into your environment it can help you focus on understanding what off methods and secrets engines and policies are going to be useful in supporting your application environment, rather than focusing on the operations work up front.

      Likewise, we’ll offer lightweight developer services to help you test with Vault learn Vault and integrate it into your applications without having to impact your full-scale production clusters. All of these available dynamically within your HVN on HCP.

      Reliability

      Additionally, you’ll be able to rely on HCP for all of that resilience and scale as well as best of breed hardening to
      help you keep your systems orchestrated and healthy so you can worry about what your application is meant to do rather than the care and feeding of Vault itself.

      Enable the future

      Finally, we help enable the future with secure integration. HCP makes it easier to stay up to date with new versions of all as they go, updating seamlessly behind your application façade, as well as being able to take advantage of additional capabilities that we build onto the platform as HCP grows and develops over time.

      To dive into a little bit more of the detailed usage of HCP Vault as we’re rolling it out today, going to hand it off to Thor Hansen.

      Demo time (08:40)

      Hi, I’m Thor Hanson. I’m an engineer here at HashiCorp. I’m going to give you a demo today on Vault on HCP. what we’re going to do is we’re going to create a virtual network we’re going to create a Vault cluster inside that network then we’re going to use an EKS cluster on AWS, and we are going to inject secrets into a pod that we create on that cluster – so let’s dive in.

      So here we have HashiCorp Cloud Platform. We’ll be walking with an overview page – where we can see setup steps, as well as other things that we can create on the platform like Consul.
      We’re going to go and create a virtual network. We can select a name; a region a CIDR Block, and then we’ll create the network. This will take a couple of minutes to initialize but once it is we’ll have our HVN as we call it.
      The next step we can do with our HVN is to create a Vault cluster inside the network, so go ahead and click that.
      Then we can name our cluster; we can put it in a region and then we can click the blue button to just simply create the cluster inside our HVN. That will take a couple minutes but then we’ll be presented with our Vault cluster.

      We have our Vault configuration where we can generate a token get the address of the cluster we can see the version, the configuration options we’ll have getting started with Vault section where people who are newer to Vault can learn how to use it. We can see the cluster stable and then the assigned network that we created the cluster inside.

      so after all that, what we can do next is we’ll go back to our HVN and we will select peering connections. This allows us to peer the HVN with a AWS VPC, so what we’ll do is we’ll copy in our AWS VPC information into this peering connection helper. We’ll grab the account ID; the VPC ID ; the region that the VPC is in, and then we’ll also copy in the VPC CIDR block.
      Then we’ll create click create the connection you’ll see that this goes from creating to pending acceptance so that means we just have to hop on over to our AWS control panel, into the peerings tab and we can go and click accept request.
      We can check to make sure that all the settings are correct and that this is the connection that we established then we can click yes accept. Once that’s been created that means now that our vpc and the hvn are appeared so we can go back in and see that the connection is now active.

      Route table

      The last step is to go back to our VPC and create a route table. This route table will allow us to map a CIDR Block from the vpc into our HVN, so we’ll go ahead and create one of those. Give it a name and then we’ll go back into the panel and we’ll create a route for it.
      Let’s go into the routes tab we’ll hit edit routes, then we can add a new route which will be the HVN’s HPC CIDR block so we’ll copy out that CIDR block; use that as our destination, and then as the target we’ll use the peering connection that we’ve created.
      This should auto-populate by was there it is so we’ll click accept now we’ve created a route from our VPC to our HVN, and vice versa. This will allow us to access the Vault cluster from our VPC.
      Last thing to do, is we can go back to our Vault cluster and we’ll generate an admin token. so this will generate a token we copy that out and this will allow us to access the Vault cluster.

      So we’ll go back to our EKS cluster in our VPC we’ll create a Vault namespace, and then we’ll create a couple of Kubernetes objects like a service account a cluster role and a cluster role binding. these will allow us to configure the Kubernetes off backend in Vault to access Vault from Kubernetes so create those things the next thing we’re going to do is we’re going to copy out the access token that’s created under the service account, we’ll use this
      access token when we configure the Kubernetes auth endpoint. so here you can see we’ve successfully grabbed the jwt off token.

      Vault CLI

      So the next thing that we are going to do is we are going to create a pod that we can exec into to run the Vault CLI. If you recall we had to peer our Vault our HVN with this VPC, so that’s the only way that we’re able to access the Vault cluster so we’re going to create a container that we can exec into and then we’ll be able to set up our Vault cli to access our Vault cluster that’s been paired with this vpc. so you’ll see here we’ll set up the Vault address we’ll set up the Vault namespace we’re going to import some of the information that we copied out from Kubernetes earlier like the jwt as well as the ca certificate from EKS. These things aren’t for the Vault cli but they’ll be helpful when we set up our kubernetes auth back end so now we’re going to log in using the token that we copied from the control plane webpage to begin with now that we’re logged in, we can enable the Kubernetes auth backend. Now that’s enabled we need to configure it we’ll use the jwt and the ca search that we talked about before and then we’ll create a role that gets assigned when our future app will log in under that auth method, and then we’ll enable the secrets engine and we’ll write a little HashiCorp secret to that secrets engine that our app can get injected into it later. and then lastly we’ll create a role that will allow us to access that secret in Vault. Great! so now we’ve done all those things the last thing we need to do is now set up our Vault agent injector we’ll use helm to do this we’ll use the HashiCorp helm resource we will enable or we’ll install it via helm setting our Vault external address to be in our hcp Vault cluster
      and then last we have our application you’ll notice in the annotations of this application that it has directives on
      how to grab secrets where to grab them from and where to store them. once we create that we can see that the
      the app is now running which means a secret has successfully been injected into that pod. and so then we can exec into that pod and look uh to see if our secret has been successfully copied into a file there so we’ll just cat it out at Vault secrets slash kv-secret and there we can see hashicomphrox

      Epilog

      So that’s been a really quick demo on how we can quickly inject secrets into an eks cluster by simply peering a vpn connection and then treating the Vault on hcp like we would any other Vault that we had running elsewhere
      this can be really powerful because it doesn’t require you as the end-user to have to set up Vault to manage it to deal with scaling it out or scaling it down our whole team constantly monitors this we have long-running workflows that keep it constantly updated keeping constantly going and so we’re really excited for you guys to try this out and to tell us what you think.

      Pourquoi choisir l’architecture Microservices?

      Dans la vidéo suivante, Armon Dadgar, CTO et fondateur de HashiCorp, explique pourquoi l’architecture des microservices est adaptée à de nombreuses applications lorsqu’elle est transférée vers le cloud, et souligne les nouveaux problèmes qui peuvent survenir lors du transfert d’applications vers des microservices pour les mauvaises raisons – notant que ces les problèmes ont été résolus .

      En bref l’architecture  microservice permet un développement plus agile ainsi qu’une croissance rapide des applications, et avec une conception appropriée, il permettra aux développeurs de se concentrer sur le développement de leur code plutôt que sur leur infrastructure.

      Dans le même temps – le passage aux microservices crée de nouveaux défis – liés à l’infrastructure; Pour la communication entre les composants; Pour la sécurité; Pour la surveillance, l’observabilité et le temps de fonctionnement.

      Il est important de ne pas résoudre un seul problème (démanteler un monolithe) en créant un nouveau problème, il explique donc  les nouveaux défis dans cette  vidéo – et recommande de séparer la plate-forme (gérée par des personnes DevOps) de l’application elle-même, afin que les développeurs se concentrent uniquement sur développement, et ceux   du DevOps dans les défis de la plate-forme.

      Il souligne également que certains des problèmes d’infrastructure peuvent être résolus à l’aide des outils Consul et Vault de HashiCorp.

      Pour votre commodité, nous avons également ajouté le texte intégral sous la vidéo (afin que vous puissiez, par exemple, ouvrir cet article dans 2 fenêtres et écouter tout en tout lisant le texte. 

       Voir la video (10 minutes):

      Nous sommes spécialisés dans le conseil dans la transition vers les microservices tant en termes d’architecture qu’en termes d’infrastructure et de DevOps, et sommes expérimentés dans le démantèlement de monolithes, dans la conception, le téléchargement de solutions de microservices vers le cloud et la conception intégrée Kubernetes et conteneurs.

      ALMtoolbox est le  représentant officiel de GitLab, Hashicorp  en France et dans d’autres pays.

      Contactez pour nous toute question, un devis ou même une license d’évaluation.

      ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com

      Transcript:

      Hello! Today I want to spend a little bit of time talking about why microservices?
      I think you know we often talk about microservices. It’s definitely a hot buzzword today but I think it’s useful to go one level deeper in terms of why are we actually motivated to adopt a microservices architecture and what are the implications of adopting it right because I think oftentimes we might not be adopting it for the right reasons, or we’re not fully cognizant of all the implications that come with adopting a microservice architecture.

      Microservices in High Level:

      So maybe starting high level you know what are microservices? Why adopt them?

      I think if you look at sort of the way we historically developed applications it had a bit more of a monolithic design pattern, so if we had a large application that had multiple sorts of subsystems, so it might be retail banking and you have you know your login; your balance view; you know transfers; you know bill pay let’s say, as an example, you might have had each of these were built by a different team, so each of this is a distinct application team, but ultimately they’re building pieces sort of a common app, so the challenges in this type of a setting each of the application teams had to coordinate tightly with one another:
      team A couldn’t do a release without team B, C and D all being ready. so what you tend to see is a very tight sort of release train, where all the teams have to coordinate on when do you cut the release candidate; when do you do betas; how do you do integration testing you have sort of almost a waterfall development timeline that comes with this.

      Monolithic design
      Monolithic design

      And the reason is you have this tight coupling of the organization design, you have these four different teams app teams they’re tightly coupled into the application design we’re shipping a single app but it spans multiple parts of the organization.

      Scale

      Now this is even relatively simpler when you only have 4 teams but for simplicity of drawing you can see how this explodes in complexity, you know as you expand and if you had to say 10 different application teams working on a common code base.
      Part of the design of microservices insofar as their technology is it’s closely aligned to the organizational reality, so I think when microservices are best to use the best leverage is when you look at this organizational reality and say “what we really want to do is allow each of these application teams to work independently of one another”, so we still have these different teams but now what we’ve done is actually split them out into different unique services, so each of these is now what we might call a microservice . We took the giant monolith we decomposed it into its constituent parts but we did it in a way that’s ideally aligned to the organization itself, because the goal was what we wanted to eliminate was sort of the human cost of coordination – the cost of each of these app teams having to talk to one another constantly, having to figure out “okay can I cut a release because I have a bug in system A, but code base for B is not ready to go out”? etc.

      When microservices are best used?

      So this is when I think microservices are best used. When you have this larger organization you have many different teams that need to work together on a common code base, and you can decompose such that each of them now has their own schedule. So if A has has a bug they can deploy without needing to tightly coordinate with B, C and D. Now in reality there’s no free lunch, right? so you know the human cost of coordinating between these teams on a release that has to go somewhere. There still is a coordination cost – we’re just moving it around. This is okay we’re making trade-offs here so the trade-off now becomes the great if a wants to be able to deploy at any time because they’re fixing a bug or they’re adding new features. Well if they have dependencies – if B and C depend on A then they have to have an API contract. They can’t just change their API because they’re pushing out a bug fix because they’re going to break B and C.
      So part of this now requires that you have a little bit more discipline a little bit more rigor in terms of how do you do things like API management. You have to
      actually manage versioning; you have to have some sort of a deprecation schedule or work at least closely with your downstream to coordinate what might be a breaking change.
      So in general when you’re in a mode of “I’m just fixing a bug – I’m not changing my API” that’s great. You don’t have to coordinate – you have total freedom. If I’m adding net new APIs that’s great – I don’t have to tightly coordinate.

      New challenges

      As you break things that’s when you still need to have some of that coordination or you need to have you know a well-known policy of how you do it: you add new features you have a deprecation period B and C can update independently and you know move to the newer API as an example.
      Now at the same time you also inherit a set of operational challenges when you go to microservices.
      Here by virtue of deploying this as a single monolithic application, if A needed to interact with D – this is an in memory function call. We don’t have to worry about networks. We don’t have to worry about authentication or authorization or all the challenges that come with now becoming a distributed system, so I think as you move into this world you inherit a bunch of challenges. Part of them around things like “how did these pieces discover and network to one another” so if A needs to communicate to D “how do we do that discovery?”

      Networking challenges

      So there’s a whole set of service networking challenges that we need to look at
      so when you talk about service networking. The most basic initial challenge is how do you just do Discovery?
      so A needs to find D somehow to be able to route to it – this is piece one.
      I think especially as we move to a more sort of secure posture we don’t want any app to be able to call any app you have to start to think about things like “how do I authenticate and authorize these different interactions”
      so A might be allowed to talk to D but C should not be allowed to. so I need to have some way to authenticate to note is my caller A as my caller B as my caller C that’s the off end challenge.

      Security challenges

      Then I have an authorization challenge where I define and say “which of these sort of communications are allowed or disallowed?”.
      Then as you get more sophisticated you have things like a traffic management challenge right so we talk about traffic management you might get into scenarios where you’re saying “great I’m actually running obviously multiple copies of service A. Maybe I want to send 90% of my traffic to version 1 and 10% to version 2 so I can do a canary or a blue green test before going 100 rolled out to version 2.
      As you get more sophisticated, these become your sort of networking challenges that you didn’t necessarily have or at least not to the same degree when you had kind of a monolithic challenge. I think at the same time closely related to some of these pieces for example (authentication and authorization)
      is things like secret management credential management if the way I’m authenticating A talking to D is I’m using a signed JWT token or I’m using a certificate that’s signed to prove my identity, well then I have a challenge of how do these applications get those certificates get those JWTs sign and verify transactions
      So that’s where you typically have sort of a secret management problem as well, and so this might be something where you’re using a solution like Vault.

      This might be something we’re using a solution like Consul that’s providing the networking and then like I said Vault might be providing this, but I think part of the way to think about it again coming back to this organizational challenge is the reason and the motivator to go to this kind of microservice architecture is ultimately i want to make these application teams more agile. So what I don’t want to do is burden them with all of this complexity of service networking and secret management and application deployment etc
      because in some sense that’s going to take away from the original goal which is to let them focus on the application
      and allow them to be more agile so I think often when you’re moving to a microservices design what’s helpful to think about is what’s the platform experience right and so what we really want ideally is that our developers are really focused on you know their source code; their application and then you know to the lightest degree possible
      some additional metadata you know this might live in a manifest of sorts, right?
      That describes you know what their application needs what regions it should run in upstream dependencies; configuration … things like that, and then these should really be the inputs to sort of a platform layer.

      The Platform Layer

      The platform layer is ultimately what should shield them from the reality of how this thing operates.
      Everything below this line really becomes an operational concern.

      microservices-platform-layer
      Everything below the Platform line should become an operational concern

      So this is where you really see teams that are successful with this you have sort of a strong notion of a platform team a central operations team that they own everything up to this line, and the developers can really focus on what matters to them — the actual app ; the lifecycle and operation of that and to the degree possible we can mask these things right The platform teams obviously then have to deal with a bunch of these pieces of you know how do we standardize things on you know infrastructure management;  provisioning how do we think about security and you know things like secret management how do we do networking you know what how’s our application runtime actually look like you know what’s our container runtime platform as an example;
      you know how do we do builds; how do we do observability.

      microservices-platform-layer-devops
      The platform is managed by Ops

      There’s a lot underneath this line, but I think if you’re going to be successful you want the platform to largely standardize these details, put that below the line making an operational problem or a platform problem and then let the developers operate at this higher level.
      I think ultimately again it’s coming back to understanding what’s the organizational problem we’re trying to solve. it’s that as we scale this cost of sort of communication and coordination becomes increasingly expensive that slows down our development velocity — — versus if we can move and have tens hundreds of these teams operating in parallel and not having to tightly coordinate but instead have a set of norms around

      things like API management and then allow them to operate on top of a platform that gives them that agility, then these teams can go much much faster. You could be making changes on a daily basis rather than on a quarterly basis

      Epilog

      Hopefully, this gave a little bit of a useful overview in terms of what microservices are and why.
      What’s the organizational impact of adopting them as well as what are some of the implications as we go down this model.

      Annonce de HashiCorp Vault 1.6

      hashicorp vault logo

      HashiCorp  annonce  la  version  Vault 1.6.

      Cette version comprend des améliorations du stockage intégré, un nouveau moteur de gestion des secrets de clés, des mises à jour de Transform Secrets Engine, etc.

      Si vous avez des questions sur Vault Enterprise, n’hésitez pas à nous contacter

      Voir tous les détails de Vault 1.6: https://www.hashicorp.com/blog/vault-1-6

      EGDS  ALMtoolbox est spécialisée dans le développement et le test pour   DevOps et pour l’amélioration des processus de travail comprenant outils de développement, tests, CI / CD, transfert en production et travail sur le cloud, tels que GitLab, Kubernetes, Spotinst, Terraform, Vault, Consul, Rancher et autres., Nous offrons des services de Consultant et vente de licences d’outils.

      ALMtoolbox est le  représentant officiel de GitLab et Hashicorp en France et dans d’autres pays. Contactez nous  pour toute question, un devis ou même une license d’évaluation

      Email hashicorp.fr@almtoolbox.com ou  par  téléphone 01 84 17 53 28

       

       

      Enregistrement: Protection avancée des données pour les services bancaires et financiers utilisant Vault

      vault

      Nouveau!!

      En tant que gardiens des choses de valeur, les institutions financières traitent depuis longtemps des problèmes de cybercriminalité, ce qui en fait l’un des principaux risques auxquels le secteur est confronté. Cependant, alors que les organisations passent au cloud et que les menaces deviennent de plus en plus sophistiquées, comment protégez-vous les données les plus sensibles, même dans des environnements non approuvés? Au cours de cette session, nous explorerons comment HashiCorp Vault fournit la base de la sécurité du cloud. En offrant des fonctionnalités avancées de protection des données telles que le chiffrement en tant que service avec le chiffrement à préservation du format (FPE), le masquage des données via le moteur de secrets Transform, l’intégration de KMIP et HSM, Vault augmente l’agilité pour déployer une cryptographie nouvelle et isolée et, en même temps , réduit les coûts et les risques.

      Auteur : Russ Parsloe, Staff Solutions Engineer, HashiCorp

      Dans ce webinaire, vous apprendrez à:

      1. Comprenez les défis de sécurité importants grâce à la protection et au chiffrement avancés des données dans les environnements traditionnels et cloud
      2. Protégez les charges de travail et les données sur les systèmes, les clouds et l’infrastructure traditionnels
      3. Protégez les données dans les bases de données d’entreprise (par exemple MySQL, MongoDB, etc.), les systèmes de stockage d’entreprise (par exemple NetApp) et les plates-formes informatiques (par exemple VMware)

      Regarder la video:

      Pourquoi il est plus intéressant d’acheter vos licences Vault nous :

      save money on gitlab pricing

       

      Pourquoi il est plus intéressant d’acheter vos licences Vault chez nous :

      On nous demande souvent quelle est la différence entre l’achat direct sur le site et l’achat chez nous donc voici résumé pour vous quelques bonnes raisons :

      D’abord, il est important de noter que le prix chez nous n’est pas plus cher bien souvent au contraire.

      De plus, il y a les avantages suivants:

      • Nous permettons l’acquisition des licences au moyen d’une commande, vous recevez une offre de prix et après votre commande une facture que vous payez chez nous en Euro en France et non sur le site par carte de crédit ce qui est souvent difficile pour des entreprise et même couteux ; pour une commande de € 20,000 par exemple vous pouvez payer jusqu’à € 500 de frais.
      • Nous vous aiderons à choisir la version qui vous convient le mieux exactement et dans la bonne quantite. Il y a chez Vault 4 versions différentes et il est parfois difficiles à distinguer entre elles (!).
        Par exemple les clients ne font pas toujours la différence entre une License sur cloud  ou bien sur un Cloud privé (même hébergé). Il est à mentionner que si vous commandez le mauvais type de license vous aurez souvent du mal à pouvoir ensuite faire corriger votre erreur, ce que nous nous savons faire.
      • De plus, nous vous aiderons à vous abstenir d’acheter une quantité excessive de licence. Nous serons heureux de répondre à vos questions – tout en français.
      • Vous pouvez trouver tout ce dont vous avez besoin chez nous pour Hashicopr  y compris la formation ,les services / conseils . Certains services sont délivrés en Anglais.
      • Nous intervenons pour vous auprès de Hashicorp  si nécessaire, et nous vous aiderons à faire escalader en interne si nécessaire (puisque nous sommes Premier Partner et avons accès aux chefs de produits , gestionnaires et aux responsables des ventes dans l’entreprise).
      • Nous écrivons notre propre matériel technique Vault OSS, y compris des tests sur le produit, innovations produits,la façon de travailler correctement avec le produit, etc.
      • Nous vous rappelons à l’avance la date de renouvellement des licences évitant ainsi la fin de votre license ( ce qui peu générer un cout de renouvellement) et la situation non plaisante du logiciel qui cesse de fonctionner.
      • Nous pouvons consolider les commandes faites à des moments différents et une date de renouvellement de licence
      • Vous pouvez récupérer avec nous la licence perdue.

      Voilà certains avantages qui feront de votre achat Vault une expérience agréable.

      ALMtoolbox est spécialisé dans le développement et le test pour la campagne DevOps et pour l’amélioration des processus de travail comprenant outils des développement, tests, CI / CD, transfert en production et travail sur le cloud, tels que GitLab, Kubernetes, Spotinst, Terraform, Vault, Consul, Rancher et autres. , Nous offrons les services de Consultant et vente de licences d’outils (la liste complète des outils est disponible ici).

      EGDS ALMtoolbox est  représentant officiel de Hashicorp en France  et dans d’autres pays.

      Pour  toute  question contactez Jean Michel Bonnet :  01 84 17 53 28   hashicorp.fr@almtoolbox.com

      Nouvel enregistrement: Webinaire Vault AMA

      La semaine dernière, nous avons accueilli John Boero de la société HashiCorp, qui a présenté les nouveautés de Vault (pendant environ une demi-heure) et a également répondu aux questions posées sur le produit (pendant environ une demi-heure).

      Au total, 17  questions ont été posées et il a réussi à toutes y répondre! Nous avons ajouté les questions à la fin de cet article.

      Nous avons édité l’enregistrement et ajouté des sous-titres à votre convenance.

      L’enregistrement est maintenant disponible:

      vault webinar

      Veuillez saisir vos coordonnées et nous vous enverrons l’enregistrement

        * Nom

        * Email

        * Utilisez vous Vault?

        Avez-vous d’autres questions sur Vault?

        Nous serons heureux de répondre – vous pouvez nous contacter pour toute question sur le produit – à la fois du point de vue technologique et en ce qui concerne les différences entre les versions, les prix et les coûts de la version Enterprise payante.

        Remarque: ceux d’entre vous qui ont utilisé ou utilisent encore ClearCase UCM peuvent se rappeler qu’il a des fonctionnalités similaires, appelées ligne de base composite. Il vous permet également de gérer des projets comprenant plusieurs référentiels.

        Nous représentons officiellement  HashiCorp et fournissons des licences, des services professionnels (y compris Kubernetes, clouds et git), l’hébergement de Vault et d’autres produits HashiCorp, y compris Terraform, Consul et Nomad.

        Pour toute question sur  GitLab,les licenses et les differences   un devis ou même une license d’évaluation, contactez nous :

        EGDS France – ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com

         

        *** Questions posées sur Vault pendant le webinaire (réponses à tous dans l’enregistrement):

        1.Quelles sont les méthodes d’authentification les plus courantes pour les déploiements sur site?
        2.Vault peut être une autorité de certification racine interne?
        3.Existe-t-il des plans pour fournir un déploiement personnalisé pour Kubernetes?
        4.Qu’en est-il du stockage des clés principales?
        5.Quelles sont les options avec / sans HSM sur site et dans le cloud?
        6.Veuillez vous référer à l’architecture HA pour Vault
        7.Quelle est la meilleure pratique pour démarrer / déployer Vault?
        8.Qu’y a-t-il de neuf dans Vault au cours de l’année écoulée?
        9.Veuillez expliquer l’intégration avec AWS
        9.Il serait intéressant de comprendre les meilleures pratiques pour déployer des clusters Vault et Nomad dans des clouds publics (Azure / AWS) à l’aide de Terraform
        Vault peut-il être mis à l’échelle horizontalement?
        10.Que manquons-nous si nous ne prenons pas Vault Enterprise?
        11.Veuillez expliquer l’intégration avec OpenShift Container Storage, Rook et Ceph
        12.Comment Vault peut-il aider les développeurs à avoir un meilleur code?
        13.Comment feriez-vous une rotation de type bleu / vert de l’utilisateur et du mot de passe pour PostgreSQL où il est nécessaire de désactiver l’ancien utilisateur / mot de passe une fois le nouveau distribué et vérifié?
        14.Existe-t-il des directives / bonnes pratiques officielles pour un déploiement conforme PCI?
        15.Dois-je installer HSM sur chaque nœud VMWare physique (om-prem) exécutant Vault?
        16.Stockage de conteneurs OpenShift, Rook et Ceph
        17.Vault est-il évolutif horizontalement? Actuellement, nous avons du mal à le mettre à l’échelle horizontalement