Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Guia para Proteger Segredos de Configuração Usando o Ansible Vault de Forma Eficaz

Proteja seu fluxo de trabalho de automação com este guia abrangente sobre o Ansible Vault. Aprenda os comandos essenciais—criar, editar, visualizar e rekey (alterar chave)—necessários para criptografar dados de configuração sensíveis, como senhas e chaves de API. Este artigo fornece exemplos práticos sobre como integrar arquivos com Vault no seu Ansible playbooks e descreve as melhores práticas cruciais para gerenciar senhas mestras e segregar segredos por ambiente, garantindo segurança robusta para o seu código de infraestrutura.

38 visualizações

Guia para Proteger Segredos de Configuração Usando o Ansible Vault de Forma Eficaz

Ansible é um poderoso motor de automação, mas gerenciar dados sensíveis como senhas de banco de dados, chaves de API e chaves SSH privadas requer medidas de segurança robustas. Armazenar essas credenciais em texto simples dentro do seu repositório de código é um grande risco de segurança, violando padrões de conformidade e melhores práticas.

O Ansible Vault fornece uma solução ao permitir a criptografia de arquivos de variáveis estruturadas ou variáveis específicas, garantindo que os segredos sejam descriptografados apenas em tempo de execução, quando necessários pelo Ansible. Este guia fornece um tutorial prático, passo a passo, sobre como integrar o Ansible Vault ao seu fluxo de trabalho, cobrindo comandos essenciais para gerenciar arquivos criptografados e utilizar esses segredos perfeitamente em seus playbooks.

Entendendo os Conceitos Centrais do Ansible Vault

O Ansible Vault usa criptografia simétrica forte (AES256) para proteger dados. O mecanismo central requer uma Senha do Vault (Vault Password) que atua como chave mestra. Essa senha deve ser fornecida ao Ansible sempre que ele precisar acessar ou modificar conteúdo criptografado.

Por que Usar o Ansible Vault?

  • Segurança: Mantém dados sensíveis criptografados em repouso, protegendo contra violações de repositório.
  • Conformidade: Ajuda a atender aos padrões do setor (ex: PCI DSS, SOC 2) que exigem a criptografia de credenciais.
  • Fluxo de Trabalho: Permite que arquivos de configuração contendo segredos sejam comitados com segurança em sistemas de controle de versão (como Git).

Comandos Essenciais do Ansible Vault

O comando ansible-vault é uma utilidade autônoma usada para gerenciar arquivos criptografados fora da execução de um playbook.

1. Criando um Novo Arquivo Criptografado no Vault

Para criar um novo arquivo destinado especificamente a segredos, use o comando create. Isso solicitará imediatamente uma nova senha de vault e, em seguida, abrirá o arquivo no seu editor de texto padrão ($EDITOR).

ansible-vault create secrets/db_passwords.yml

Conteúdo de Exemplo (db_passwords.yml após salvar):

# Este arquivo está criptografado
db_user: app_admin
db_pass: HighlySecurePassword123!
api_key: abc-123-def-456

Após salvar e fechar o editor, o conteúdo é criptografado e o arquivo está pronto para ser comitado no controle de versão.

2. Visualizando Conteúdo Criptografado

Se você precisar inspecionar rapidamente o conteúdo de um arquivo no vault sem editá-lo, use o comando view. Você será solicitado a fornecer a senha do vault.

ansible-vault view secrets/db_passwords.yml

3. Editando um Arquivo Existente no Vault

O comando edit é a principal maneira de modificar segredos. O Ansible descriptografa o arquivo, abre-o no seu editor e, ao salvar, recriptografa o arquivo automaticamente.

ansible-vault edit secrets/db_passwords.yml

Dica: Certifique-se de que sua variável de ambiente $EDITOR esteja configurada corretamente (ex: export EDITOR=vim) para uma experiência de edição tranquila.

4. Criptografando e Descriptografando Arquivos Existentes

Se você tem um arquivo de texto simples existente que precisa ser protegido, use o comando encrypt. Inversamente, decrypt é usado para reverter um arquivo criptografado para texto simples (use com cautela, geralmente para migração).

# Criptografar um arquivo existente
ansible-vault encrypt plain_vars.yml

# Descriptografar um arquivo existente no vault (Perigoso! Use apenas se necessário)
ansible-vault decrypt secured_vars.yml

5. Alterando a Senha do Vault (Rekey)

Para atualizar a senha mestra de um arquivo no vault, use o comando rekey. Isso exige que você forneça a senha atual e, em seguida, defina uma nova.

ansible-vault rekey secrets/db_passwords.yml

Isso é essencial para rotações de segurança ou ao fazer a transição para um novo sistema de gerenciamento de credenciais.

Integrando Segredos do Vault em Playbooks Ansible

Depois que os arquivos são criptografados, você precisa de um método para carregá-los durante a execução do playbook e fornecer a senha do vault necessária.

Carregando Variáveis Criptografadas

Arquivos de variáveis criptografadas são carregados como qualquer outro arquivo de variável, geralmente usando a diretiva vars_files no seu playbook.

Exemplo de Playbook (site.yml):

---
- name: Implantar aplicação que requer segredos de banco de dados
  hosts: webservers
  vars_files:
    - secrets/db_passwords.yml  # Ansible detecta automaticamente que este está no vault

  tasks:
    - name: Garantir que o usuário do banco de dados esteja configurado
      ansible.builtin.template:
        src: config.j2
        dest: /etc/app/config.conf
        mode: '0600'
      # Variáveis como {{ db_user }} e {{ db_pass }} estão agora disponíveis

Fornecendo a Senha do Vault Durante a Execução

O Ansible oferece vários métodos seguros para fornecer a senha do vault sem deixá-la exposta no histórico ou em scripts.

Método 1: Prompt Interativo

O método mais simples é usar a flag --ask-vault-pass, que solicita a senha ao usuário de forma segura em tempo de execução.

ansible-playbook site.yml --ask-vault-pass

Método 2: Usando um Arquivo de Senha

Para automação, pipelines de CI/CD ou ambientes onde prompts interativos não são desejáveis, você pode usar um arquivo de senha em texto simples (geralmente armazenado fora do repositório principal e protegido por permissões de arquivo restritas).

# Nota: O arquivo de senha DEVE conter APENAS o texto da senha do vault.
ansible-playbook site.yml --vault-password-file ~/.ansible/vault_key.txt

Método 3: Criptografando Variáveis Únicas (encrypt_string)

Se você só precisa criptografar uma única variável pequena (ex: em um arquivo de inventory) em vez de um arquivo YAML inteiro, use ansible-vault encrypt_string.

# Use 'echo' ou 'printf' para passar o segredo diretamente
ansible-vault encrypt_string 'MySuperSecretAPIKey' --name 'prod_api_key'

Este comando gera a string criptografada que pode ser colada diretamente em um inventário ou arquivo de variável:

prod_api_key: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  37666236613364656165386638323438646132646337326462613134373463353434613861313361
  ... (resto dos dados criptografados)

Melhores Práticas para Gerenciamento de Vault Empresarial

O gerenciamento eficaz de segredos vai além de simplesmente criptografar um arquivo. Adoção destas melhores práticas garante segurança e manutenibilidade:

1. Arquivo de Senha de Vault Dedicado

Sempre use o método --vault-password-file em ambientes automatizados. O arquivo contendo a senha deve ter permissões extremamente restritivas (chmod 400) e nunca deve ser comitado no Git.

2. Segregação de Ambiente

Use arquivos de vault separados para diferentes ambientes (Desenvolvimento, Staging, Produção). Isso impede que ambientes de baixo risco acessem credenciais de produção de alto risco.

  • vars/prod_vault.yml
  • vars/stage_vault.yml

Carregue esses arquivos condicionalmente usando grupos de inventário ou lógica condicional em seus playbooks.

3. Integração com Plugins de Lookup

Para segurança avançada, integre o Ansible Vault com sistemas externos de gerenciamento de segredos (ex: HashiCorp Vault, AWS Secrets Manager) usando os plugins lookup do Ansible. Isso permite que você delegue o gerenciamento de chaves inteiramente a uma ferramenta especializada, usando o Ansible Vault apenas para segredos básicos ou inicialização.

4. Variáveis de Grupo vs. Variáveis de Playbook

Geralmente é mais limpo armazenar variáveis do vault usando group_vars/all.yml.vault ou group_vars/<group_name>.yml.vault. O Ansible tenta automaticamente descriptografar arquivos que terminam em .vault ao carregar variáveis para aquele grupo ou host, simplificando a estrutura do playbook.

# Exemplo de estrutura
inventory/
├── hosts
└── group_vars/
    └── webservers.yml.vault

Conclusão

O Ansible Vault é um componente obrigatório de qualquer implantação segura do Ansible. Ao criptografar dados sensíveis em repouso e utilizar arquivos de senha ou prompts interativos, você garante que sua automação permaneça poderosa enquanto adere a padrões críticos de segurança. Dominar os comandos centrais—create, edit e rekey—e integrar arquivos do vault perfeitamente via vars_files permite que as equipes de desenvolvimento colaborem com segurança na configuração da infraestrutura sem expor credenciais críticas.