Molte applicazioni, spiega Google Cloud, richiedono elementi da mantenere riservati, quali credenziali per connettersi a un database, API Key per richiamare un servizio o certificati per l’autenticazione.
La gestione e la protezione dell’accesso a questi segreti è spesso complicata dalla proliferazione di tali dati, dalla scarsa visibilità o dalla mancanza di integrazione.
È per risolvere queste problematiche che la società di Mountain View ha lanciato Secret Manager, un nuovo servizio Google Cloud che fornisce un metodo sicuro e conveniente per archiviare API Key, password, certificati e altri dati sensibili da mantenere segreti.
Secret Manager offre una posizione centrale e una single source of truth (SSOT, unica fonte di verità) per gestire, accedere e controllare i “segreti” su Google Cloud.
Un “secret”, un segreto, non è solo un dato (nel nostro caso considerato dal punto di vista informatico) da mantenere riservato e nascosto: nell’architettura del nuovo servizio Secret Manager di Google Cloud è un oggetto globale del progetto che contiene una raccolta di metadati, che possono includere informazioni quali etichette e autorizzazioni, e dati segreti effettivi, come una API Key o delle credenziali.
I secret sono dunque risorse project-global, tuttavia, spiega ancora Google Cloud, mentre i nomi dei segreti sono globali, i dati segreti sono regionali.
Alcune imprese, sottolinea infatti la società di Mountain View, desiderano il pieno controllo su dove sono archiviati i loro dati segreti, mentre altre non hanno preferenze.
Secret Manager affronta entrambi questi requisiti e preferenze del cliente con le replication policy, con cui la replica può essere automatica o gestita dall’utente, in quanto alla selezione delle location (la replica dei dati è comunque gestita da Google, l’utente non ha bisogno di strumenti addizionali).
Secret Manager fornisce poi funzionalità avanzate di versioning: i dati segreti sono immutabili e la maggior parte delle operazioni avviene su secret versions.
Inoltre, il servizio funziona secondo il principio del privilegio minimo: solo gli owner di progetti dispongono delle autorizzazioni per accedere ai segreti; agli altri ruoli devono essere esplicitamente concesse le autorizzazioni tramite Cloud IAM.
Con Cloud Audit Logging abilitato, ogni interazione con Secret Manager genera un’audit entry. È possibile inserire questi registri nei sistemi di rilevamento delle anomalie per individuare pattern di accesso anomali e allertare su possibili violazioni della sicurezza.
Nel servizio Secret Manager, i dati vengono cifrati in transito con TLS e inattivi con chiavi di crittografia AES-256-bit. Inoltre, il supporto per le customer-managed encryption keys (CMEK) è in arrivo, informa Google Cloud.
È inoltre possibile abilitare l’accesso context-aware a Secret Manager da ambienti ibridi con i Controlli di servizio VPC.
La versione beta di Secret Manager è ora disponibile per tutti i clienti di Google Cloud. Tutte le informazioni necessarie sono disponibili nella documentazione del servizio.
