Safeguard Secrets Broker for DevOps

[注意]

由于Safeguard for Privileged Passwords中SignalR技术的升级，DevOps密钥代理（Safeguard Secrets Broker for DevOps）的SignalR客户端版本也需同步升级。用于监控密码变更事件的升级后SignalR技术不向后兼容旧版本，因此1.5.0及以上版本的DevOps密钥代理仅兼容Safeguard for Privileged Passwords 6.8.0及以上版本。DevOps密钥代理1.0.0版本必须搭配Safeguard for Privileged Passwords 6.7.0及以下版本使用。

概述

DevOps对不同人可能有不同含义，明确我们所说的“保障DevOps安全”的具体范畴至关重要。

DevOps是软件开发团队与运维团队之间用于构建、测试和发布软件的自动化形式，旨在实现速度与弹性。通常，人们将DevOps与SaaS解决方案部署到云环境的自动化联系起来，但DevOps也可以简单到源代码仓库钩子触发构建服务器检出并构建.NET库，再推送到NuGet服务器。

支持

One Identity开源项目通过One Identity GitHub issues和One Identity社区提供支持，包括所有脚本、插件、SDK、模块、代码片段或其他解决方案。如需协助，可在GitHub项目页面提交新Issue，或访问One Identity社区提问。通过***One Identity支持渠道提交的协助请求将被引导至GitHub和社区论坛，以便所有用户受益。

DevOps安全挑战

DevOps技术面临以下安全挑战：

• 源代码安全——用于从源代码仓库拉取代码的密钥。
• 构建系统安全——用于访问敏感组件存储、代码签名操作等资源的密钥。
• 包/镜像仓库安全——用于推送构建产物（包和镜像）到仓库及从中拉取产物的密钥。
• 安全部署到基础设施——虚拟机root密码、云特权账户、编排框架中的特权账户等。
• 安全微服务通信——进程间或服务间通信所需的密码、API密钥、PKI等。
• 安全持久化——数据库密码、S3存储桶等持久化技术使用的密钥。

上述所有安全问题均涉及资源访问限制，而访问控制需要身份验证。系统必须能识别请求者或确认其可信度才能做出访问控制决策，此过程通过密钥完成——拥有密钥即证明请求者可信（密钥可以是密码、私钥、API密钥等）。

DevOps中，请求者是自动化流程而非人类，导致基于密钥的身份验证更复杂。DevOps场景对速度要求高，自动化流程无法等待传统PAM中的手动审批（发布门控除外）来获取密钥。

最简单的DevOps自动化方式是使用静态嵌入密钥，但安全合规要求密钥需安全存储并定期轮换，且需安全交付给自动化流程（构建系统、编排器、脚本等）。此外，开发人员可能在代码、配置文件或虚拟机中嵌入密钥，导致IT组织担忧影子IT风险。

解决方案

Safeguard推荐的最佳实践是将安全性较低的DevOps环境与PAM环境完全隔离，实现“零访问”PAM环境。解决方案核心是让Safeguard“推送密钥到DevOps”：

• 推送模式意味着DevOps环境无需访问PAM：
  • 无需具有PAM访问权限的引导密钥。
  • 甚至无需防火墙开放PAM访问端口。
• 推送模式更高效：
  • 仅在密钥实际变更时更新。
  • 无需持续轮询密钥。

!SafeguardDevOpsService

组件说明

Safeguard API

Safeguard提供A2A（应用到应用）REST API和核心REST API（图中标记为Config），用于配置A2A服务及其他Safeguard服务，还提供用于访问这些API的.NET Standard 2.0开源SDK。

• 发现——证书用户可通过核心API查看A2A注册信息。
• 监控——A2A API包含SignalR WebSocket连接，实时推送密码变更事件（无需轮询）。
• 获取——通过单次HTTPS请求从A2A API拉取密钥密码。

Safeguard Secrets Broker for DevOps

开源组件，可部署为服务或容器，包含可扩展插件以与多种DevOps技术集成。该服务发现配置为推送到不同DevOps技术的A2A密钥。

Safeguard Secrets Broker for DevOps配置工具

单页Web应用，用于引导DevOps密钥代理与Safeguard之间的身份验证配置。

PARCache

为从TPAM迁移的Safeguard客户设计的新PARCache服务。

![Safeguard DevOps演示视频]([***]

DevOps密钥代理插件

支持的插件包括：

• HashiCorp Vault
• Azure Key Vault
• Kubernetes Secrets Storage
• Jenkins Secrets
• ...

Safeguard for Privileged Passwords设置

1. 导航至设置->设备->启用或禁用服务，启用A2A服务。
2. 添加资产和账户（包括服务账户）。
3. 为账户设置密码。
4. 为每个DevOps密钥代理使用的第三方密钥库创建AssetAccount，该账户包含用于认证密钥库的凭证，将在第三方密钥库插件配置中使用。
5. （可选）创建带私钥的新证书（PFX格式），分配给证书用户。将公证书及证书链中的签发者证书上传至SPP作为可信证书。配置期间，证书和私钥将上传至DevOps密钥代理，用于创建证书用户和A2A注册。证书可独立创建或通过DevOps密钥代理生成的CSR创建（参见“配置DevOps密钥代理”）。

DevOps密钥代理设置

从Docker镜像安装

DevOps密钥代理的Docker镜像已发布至Docker Hub：oneidentity/safeguard-devops（<[***]>），可在Linux系统下载部署。

部署Docker镜像

以下命令下载并部署密钥代理Docker镜像：

bash
$ docker run -it -p 443:4443 --cap-add NET_ADMIN oneidentity/safeguard-devops

• 镜像内部绑定端口4443，-p 443:4443将内部端口映射到外部443。如需映射至其他外部端口，替换443为目标端口。
• --cap-add NET_ADMIN参数在外部端口为特权端口（<1024）时必需。

设置环境变量

初始化时可通过环境变量控制调试级别和数据库加密。出于安全考虑，建议通过here-document传递环境变量：

bash
$ docker run -it -p 443:4443 --cap-add NET_ADMIN --env-file <(cat <<EOF
  SSBEncPasswd=thisisapasswordformyencrypteddatabase
  EOF
  ) oneidentity/safeguard-devops

更新Docker镜像

bash
$ docker pull oneidentity/safeguard-devops

警告：部分Docker环境中，容器可能无法正确识别主机IP，导致A2A IP限制与主机不匹配，进而阻止密码监控启动。若SafeguardDevOpsService.log显示监控启动失败，可通过Safeguard桌面客户端导航至设置中的“应用到应用”注册配置，编辑与密钥代理匹配的SafeguardDevOpsServer-xxx和SafeguardDevOpsServiceVaultCredentials-xxx注册，在“凭证检索”选项卡中修改限制以匹配密钥代理主机IP。此问题将在未来版本中修复。

环境变量

Windows或Docker环境中，可通过环境变量控制密钥代理初始化。Windows通过appsettings.json（重命名_appsettings.json）设置，Docker通过命令行传递。可用环境变量如下：

• LogLevel：日志级别。Windows默认Information，Docker默认Debug；可选值：Information、Debug、Error、Warning、Fatal、Verbose。
• SSBEncPasswd：密钥代理数据库加密密码（仅Docker可用，Windows数据库始终加密）。
• Port：密钥代理监听端口。Docker默认4443（建议保持），Windows可通过appsettings.json修改。

配置DevOps密钥代理

使用Web用户界面

1. 按上述步骤安装并启动密钥代理后，在浏览器导航至服务根URI：https://<服务IP或DNS>。
2. 密钥代理将请求Safeguard设备的IP或主机名。

!SafeguardDevOpsService

3. 重定向至Safeguard登录页，使用与Safeguard相同的方式登录。
4. 登录后，密钥代理显示主页面，此时需上传客户端证书或创建CSR并由可信机构签名。

!SafeguardDevOpsService

5. 上传客户端证书后，密钥代理将完成配置：在关联的Safeguard设备添加两个A2A注册并创建证书用户。
6. 上传一个或多个插件以支持将密码推送到第三方密钥库。从GitHub仓库下载插件后上传至密钥代理。
7. 插件上传后将显示在主页面，点击“编辑配置”按钮进行配置。
8. 每个插件需关联一个或多个账户（从Safeguard拉取密码并推送到对应第三方密钥库的账户）。

!SafeguardDevOpsService

9. 所有插件配置完成并关联账户后，点击“启动监控”按钮。密钥代理将监听关联账户的密码变更事件，自动拉取并推送至对应第三方密钥库。

!SafeguardDevOpsService

使用REST API

1. 证书准备：密钥代理需要两类证书（均需私钥）：

   • （可选）Web服务SSL证书：默认使用自签名证书，可替换为自定义SSL证书。
   • 客户端认证证书：用于创建SPP证书用户和A2A注册（必需）。 两类证书均可外部生成（PFX格式上传）或通过密钥代理生成私钥和CSR（签名后上传）。

2. 安装客户端证书：

   • 调用GET /service/devops/Safeguard/CSR，指定证书类型A2AClient（可选证书大小和主题名）生成CSR。
   • 签名CSR生成公证书（需包含KeyUsage：DigitalSignature、KeyEncipherment；ExtendedKeyUsage：ClientAuth）。
   • 调用POST /service/devops/Safeguard/ClientCertificate上传证书：

   json
   {
     "Base64CertificateData": "<证书Base64数据>",
     "Passphrase": "<PFX密码>" // 仅上传带私钥的PFX时需要，否则省略
   }
   

   • 调用POST /service/devops/Safeguard/Configuration，请求体为空{}（也可在此调用中包含上述证书JSON体一并上传）。此操作将存储证书和私钥至密钥代理数据库，在SPP中创建带适当权限的DevOpsService用户，创建两个带IP限制的A2A注册，完成密钥拉取准备。

3. 配置监听端口和日志级别：

   • Windows安装时，ProgramFiles\SafeguardDevOpsService目录下有示例配置文件_appsettings.json，重命名为appsettings.json后编辑：
     • "HttpPort": "<端口>"：设置监听端口。
     • "LogLevel": "<级别>"：设置日志级别（默认Information，可选：Information、Error、Fatal、Verbose、Warning、Debug）。
   • 修改后需重启服务使配置生效。

安装密钥库插件

1. 将插件ZIP文件复制到本地文件系统。
2. 调用POST /service/devops/Plugins/File上传插件ZIP，密钥代理将自动检测、加载并注册插件。
3. 调用GET /service/devops/Plugins验证插件是否已部署注册。
4. 每个插件需单独配置：调用PUT /service/devops/Plugins/{name}，请求体仅包含Configuration字段。例如，配置HashiCorp Vault插件：

json
{
  "Configuration": {
    "address": "<hashicorp-url>",
    "mountPoint": "secret"
  }
}

配置账户并映射到密钥库插件

1. 调用GET /service/devops/Safeguard/AvailableAccounts获取SPP中所有可请求的账户列表。
2. 调用POST /service/devops/Safeguard/A2ARegistration/RetrievableAccounts，请求体为步骤1结果中需添加的账户（可编辑移除不需要的账户）。
3. 调用POST /service/devops/Plugins/{name}/Accounts，请求体为步骤2结果中需映射到该插件的账户（可编辑）。对每个需拉取密码的插件重复此操作。

配置插件的密钥库凭证账户

1. 调用GET /service/devops/Safeguard/AvailableAccounts获取所有可用账户。
2. 调用POST /service/devops/Plugins/{name}/VaultAccount，请求体为对应第三方密钥库的资产账户信息（从步骤1结果复制）。对每个插件重复此操作。

启动DevOps密钥代理密码监控

调用POST /service/devops/Monitor启动监控：

json
{
  "Enabled": true
}

• 调用相同API并设置"Enabled": false可停止监控。
• 启动后，密钥代理将检测SPP中关联账户的密码变更，自动拉取并推送至对应第三方密钥库。