Я ніколи не забуду ранок кілька років тому, коли товариш по команді випадково підштовхнув ключ AWS до публічного репо. Минуло менше 30 хвилин, перш ніж хтось позначив цю проблему, і хоча ми швидко обертали облікові дані, це був наш дзвінок.
У той час наша організація розширювалася на гібридне хмарне середовище, а навантаження працюють на інфраструктурі AWS, Azure та Prem. Секрети були розкидані по Jenkins, Kubernetes, CI/CD трубопроводів та ноутбуках Dev. Жоден інструмент чи політика не керували тим, як зберігаються або доступні секрети. Розповсюдження було справжнім, і це було ризиковано.
Цей інцидент підштовхнув нас до серйозного управління таємницями. Далі було 18-місячна подорож для впровадження масштабованого, безпечного управління таємницями на рівні підприємства. Це історія про те, як ми це зробили, що ми дізналися і що я рекомендую будь -кому, хто йде, подібним шляхом. Ми також зрозуміли, що без єдиної системи управління таємницями ми запровадили прогалини в аудиті, які можуть провалити як внутрішній контроль, так і відгуки про дотримання норм, чого ми не могли собі дозволити в сильно регульованій галузі.