Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Guía para asegurar secretos de configuración con Ansible Vault de manera efectiva

Asegure su flujo de trabajo de automatización con esta guía completa sobre Ansible Vault. Aprenda los comandos esenciales —crear, editar, ver y cambiar clave (rekey)— necesarios para cifrar datos de configuración sensibles como contraseñas y claves de API. Este artículo proporciona ejemplos prácticos sobre cómo integrar archivos encriptados (vaulted files) en sus playbooks de Ansible y describe las mejores prácticas cruciales para gestionar contraseñas maestras y segregar secretos por entorno, garantizando una seguridad robusta para su código de infraestructura.

40 vistas

Guía para Asegurar Secretos de Configuración Usando Ansible Vault de Manera Efectiva

Ansible es un potente motor de automatización, pero la gestión de datos sensibles como contraseñas de bases de datos, claves API y claves SSH privadas requiere medidas de seguridad robustas. Almacenar estas credenciales en texto plano dentro de su repositorio de código es un gran riesgo de seguridad, lo que viola los estándares de cumplimiento y las mejores prácticas.

Ansible Vault proporciona una solución al permitir el cifrado de archivos de variables estructurados o variables específicas, asegurando que los secretos solo se descifren en tiempo de ejecución cuando Ansible los necesita. Esta guía ofrece un tutorial práctico paso a paso sobre cómo integrar Ansible Vault en su flujo de trabajo, cubriendo los comandos esenciales para gestionar archivos cifrados y utilizar esos secretos sin problemas en sus playbooks.

Comprensión de los Conceptos Centrales de Ansible Vault

Ansible Vault utiliza cifrado simétrico fuerte (AES256) para proteger los datos. El mecanismo central requiere una Contraseña de Vault que actúa como clave maestra. Esta contraseña debe proporcionarse a Ansible cada vez que necesite acceder o modificar contenido cifrado.

¿Por qué usar Ansible Vault?

  • Seguridad: Mantiene los datos sensibles cifrados en reposo, protegiendo contra brechas en el repositorio.
  • Cumplimiento: Ayuda a cumplir con los estándares de la industria (p. ej., PCI DSS, SOC 2) que exigen el cifrado de credenciales.
  • Flujo de Trabajo: Permite confirmar de forma segura archivos de configuración que contienen secretos en sistemas de control de versiones (como Git).

Comandos Esenciales de Ansible Vault

El comando ansible-vault es una utilidad independiente utilizada para gestionar archivos cifrados fuera de la ejecución de un playbook.

1. Creación de un Nuevo Archivo Cifrado en Vault

Para crear un nuevo archivo destinado específicamente a secretos, use el comando create. Esto le solicitará inmediatamente una nueva contraseña de vault y luego abrirá el archivo en su editor de texto predeterminado ($EDITOR).

ansible-vault create secrets/db_passwords.yml

Contenido de Ejemplo (db_passwords.yml después de guardar):

# Este archivo está cifrado
db_user: app_admin
db_pass: HighlySecurePassword123!
api_key: abc-123-def-456

Después de guardar y cerrar el editor, el contenido se cifra y el archivo está listo para ser confirmado en el control de versiones.

2. Visualización del Contenido Cifrado

Si necesita inspeccionar rápidamente el contenido de un archivo cifrado sin editarlo, use el comando view. Se le solicitará la contraseña del vault.

ansible-vault view secrets/db_passwords.yml

3. Edición de un Archivo Cifrado Existente

El comando edit es la forma principal de modificar secretos. Ansible descifra el archivo, lo abre en su editor y, al guardar, vuelve a cifrar el archivo automáticamente.

ansible-vault edit secrets/db_passwords.yml

Consejo: Asegúrese de que su variable de entorno $EDITOR esté configurada correctamente (p. ej., export EDITOR=vim) para una experiencia de edición fluida.

4. Cifrado y Descifrado de Archivos Existentes

Si tiene un archivo de texto plano existente que necesita ser asegurado, use el comando encrypt. A la inversa, decrypt se utiliza para revertir un archivo cifrado a texto plano (úselo con precaución, generalmente para migración).

# Cifrar un archivo existente
ansible-vault encrypt plain_vars.yml

# Descifrar un archivo cifrado (¡Peligroso! Úselo solo si es necesario)
ansible-vault decrypt secured_vars.yml

5. Cambio de la Contraseña del Vault (Rekey)

Para actualizar la contraseña maestra de un archivo cifrado, use el comando rekey. Esto requiere que proporcione la contraseña actual y luego establezca una nueva.

ansible-vault rekey secrets/db_passwords.yml

Esto es esencial para las rotaciones de seguridad o al hacer la transición a un nuevo sistema de gestión de credenciales.

Integración de Secretos Cifrados en Playbooks de Ansible

Una vez que los archivos están cifrados, necesita un método para cargarlos durante la ejecución del playbook y proporcionar la contraseña de vault necesaria.

Carga de Variables Cifradas

Los archivos de variables cifrados se cargan como cualquier otro archivo de variables, típicamente usando la directiva vars_files en su playbook.

Ejemplo de Playbook (site.yml):

---
- name: Desplegar aplicación que requiere secretos de base de datos
  hosts: webservers
  vars_files:
    - secrets/db_passwords.yml  # Ansible detecta automáticamente que esto está cifrado en vault

  tasks:
    - name: Asegurar que el usuario de la base de datos esté configurado
      ansible.builtin.template:
        src: config.j2
        dest: /etc/app/config.conf
        mode: '0600'
      # Variables como {{ db_user }} y {{ db_pass }} ahora están disponibles

Suministro de la Contraseña de Vault Durante la Ejecución

Ansible ofrece varios métodos seguros para proporcionar la contraseña de vault sin dejarla expuesta en el historial o en scripts.

Método 1: Indicación Interactiva

El método más sencillo es usar el indicador --ask-vault-pass, que solicita al usuario la contraseña de forma segura en tiempo de ejecución.

ansible-playbook site.yml --ask-vault-pass

Método 2: Uso de un Archivo de Contraseña

Para la automatización, pipelines de CI/CD o entornos donde las solicitudes interactivas no son deseables, puede usar un archivo de contraseña de texto plano (a menudo almacenado fuera del repositorio principal y asegurado mediante permisos de archivo restringidos).

# Nota: El archivo de contraseña DEBE contener SOLO el texto de la contraseña del vault.
ansible-playbook site.yml --vault-password-file ~/.ansible/vault_key.txt

Método 3: Cifrado de Variables Únicas (encrypt_string)

Si solo necesita cifrar una única variable pequeña (p. ej., en un archivo de inventory) en lugar de un archivo YAML completo, use ansible-vault encrypt_string.

# Use 'echo' o 'printf' para pasar el secreto directamente
ansible-vault encrypt_string 'MySuperSecretAPIKey' --name 'prod_api_key'

Este comando genera la cadena cifrada que se puede pegar directamente en un archivo de inventario o de variables:

prod_api_key: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  37666236613364656165386638323438646132646337326462613134373463353434613861313361
  ... (resto de los datos cifrados)

Mejores Prácticas para la Gestión de Vault Empresarial

La gestión eficaz de secretos se extiende más allá de simplemente cifrar un archivo. Adoptar estas mejores prácticas asegura la seguridad y la capacidad de mantenimiento:

1. Archivo de Contraseña de Vault Dedicado

Siempre use el método --vault-password-file en entornos automatizados. El archivo que contiene la contraseña debe tener permisos extremadamente restrictivos (chmod 400) y nunca debe ser confirmado en Git.

2. Segregación de Entornos

Utilice archivos de vault separados para diferentes entornos (Desarrollo, Staging, Producción). Esto evita que los entornos de bajo riesgo accedan a credenciales de producción de alto riesgo.

  • vars/prod_vault.yml
  • vars/stage_vault.yml

Cargue estos archivos condicionalmente utilizando grupos de inventario o lógica condicional en sus playbooks.

3. Integración con Plugins de Búsqueda (Lookup Plugins)

Para una seguridad avanzada, integre Ansible Vault con sistemas externos de gestión de secretos (p. ej., HashiCorp Vault, AWS Secrets Manager) utilizando los plugins lookup de Ansible. Esto le permite delegar la gestión de claves completamente a una herramienta especializada, utilizando Ansible Vault solo para secretos básicos o arranque.

4. Variables de Grupo vs. Variables de Playbook

A menudo es más limpio almacenar variables cifradas usando group_vars/all.yml.vault o group_vars/<group_name>.yml.vault. Ansible intenta automáticamente descifrar los archivos que terminan en .vault al cargar variables para ese grupo o host, simplificando la estructura del playbook.

# Ejemplo de estructura
inventory/
├── hosts
└── group_vars/
    └── webservers.yml.vault

Conclusión

Ansible Vault es un componente obligatorio de cualquier implementación segura de Ansible. Al cifrar datos sensibles en reposo y utilizar archivos de contraseña o indicaciones interactivas, se asegura de que su automatización siga siendo potente mientras cumple con los estándares de seguridad críticos. Dominar los comandos centrales—create, edit y rekey—e integrar archivos cifrados sin problemas a través de vars_files permite a los equipos de desarrollo colaborar de forma segura en la configuración de la infraestructura sin exponer credenciales críticas.