Balik lagi ke topik defensive security (blue team), kali ini kita akan membahas serba-serbi yang berkaitan dengan secret, seperti token, password, dan teman-teman sejenisnya. Yang sudah kita tahu bahwasanya semua yang berbau password, token, dll erat kaitannya dengan authentication dan authorization. Maka topik ini juga akan dibawa dengan sesantai mungkin tentang salah satu produk enterprise di sisi security: Hashicorp Vault.
Sebelum membaca topik ini lebih lanjut ada baiknya untuk membaca artikel berikut ini: Sebuah Jawaban, Apa Itu Blue Team?
Hashicorp Vault
A. Secret Storage & Management Tools
Mungkin teman-teman kurang familiar dengan kata secret storage dan secret management. Benda dan alat apakah itu? Baiklah, secret storage sendiri adalah tools yang berfungsi sebagai penyimpanan data-data berbentuk kredensial dan autentikasi seperti, password, token, API key, client id, ssh password, dan metode authentikasi lainnya yang terjaga secara aman dan dijamin kerahasiannya. Lalu apa itu secret manangement? Secret management sendiri adalah suatu utilitas atau alat yang diperuntukkan untuk mengatur dan me-manange secret-secret yang ada dalam secret storage agar tersentralisasi sehingga dapat dipakai lebih mudah dan aman.
Lalu kenapa utilitas seperti secret management dan secret storage itu hadir? Jaman dahulu kita selalu memiliki pola pikir/mindset tentang defensive security bahwasanya keamanan/security dijaga dengan membangun pertahanan sekuat-kuatnya alias dapat digambarkan dengan sebuah kerajaan yang disekelilingi tembok-tembok yang tinggi. Sekarang mindset itu berubah, mengikuti semakin sophiscated/rumitnya sebuah serangan dan perkembangan teknologi yang ada. Maka mindset sekarang adalah bagaimana kita membuat tenda-tenda kecil yang dijaga oleh setiap prajurit dan di setiap tendanya saling berkomunikasi satu sama lain. Maka sekarang mulai maraknya konsep desentralisasi. Dan hadirnya secret storage & management adalah salah satu bentuk andilnya perkembangan pola pikir tersebut.
B. Apa itu Hashicorp Vault
Bedasarkan vaultprojects.io dan hashicorp.com Hashicorp Vault adalah suatu utilitas yang dipakai sebagai secret management dan secret storage yang dapat kita kontrol baik melalui CLI maupun GUI. Sesuai namanya Hashicorp Vault dibuat dan disupport oleh suatu perusahaan bernama Hashicorp. Seperti gambar di atas, vault sendiri sudah support banyak metode penyimpanan secret dan authentication. Banyak opsi yang ditawarkan mulai dari secret bawaan vault hingga integrasi dengan third party lainnya.
Hashicorp vault sendiri ada versi free dan enterprisenya, dimana versi enterprisenya mendukung mode replikasi (performance cluster), integrasi yang lengkap, hingga support langsung dari principal Hashicorp. Untuk free version kita bisa download di sini. Utilitas ini bisa digunakan di macOS, Linux, Windows, BSD, dll.
C. Dokumentasi Penggunaan Hashicorp Vault
Untuk dapat menggunakan vault, baik saat instalasi yang berkaitan dengan sisi infrastruktur ataupun penggunaan secret management-nya dari sisi developer, baca Hashicorp Official Docs. Saya juga sebagai penulis artikel memiliki dokumentasi sendiri, sebagai catatan pribadi. Jika kesulitan membaca dokumentasi resminya bisa mengunjungi dokumentasi versi saya yang ini.
