Центр знаний DevOps
Центр знаний DevOps

Лучшие практики безопасного управления учетными данными Jenkins

Защитите свой процесс CI/CD, освоив безопасное управление учетными данными Jenkins. Это руководство от экспертов подробно описывает основные стратегии хранения конфиденциальных данных, таких как API-ключи и SSH-ключи, с использованием встроенного плагина Credentials Plugin. Узнайте о важнейших типах учетных данных, важности области видимости (System vs. Folder) и о том, как безопасно внедрять секреты в декларативные конвейеры с помощью шага `withCredentials`. Мы также рассматриваем расширенную интеграцию безопасности, включая использование внешних хранилищ, таких как HashiCorp Vault, для достижения надежной, проверяемой и безопасной автоматизации.

32 просмотров

Рекомендации по безопасному управлению учетными данными Jenkins

Jenkins служит центральной нервной системой для непрерывной интеграции и непрерывной доставки (CI/CD), часто требуя доступа к высокочувствительным ресурсам, включая производственные базы данных, облачные API, репозитории артефактов и защищенную инфраструктуру. Правильное управление секретами, необходимыми для этих операций — паролями, ключами API и приватными SSH-ключами — имеет первостепенное значение для поддержания безопасности и целостности вашего конвейера развертывания.

Плохое управление учетными данными, такое как жесткое кодирование секретов непосредственно в скрипты конвейера или их хранение в виде открытого текста, является серьезной уязвимостью безопасности. В этом руководстве подробно описаны основные стратегии и архитектурные рекомендации по использованию встроенного плагина Jenkins Credentials Plugin и интеграции передовых средств контроля безопасности для обеспечения защиты ваших конфиденциальных данных.

Основа: Плагин учетных данных Jenkins

Credentials Plugin — это стандартный механизм, используемый Jenkins для хранения конфиденциальных данных. Он предоставляет централизованное, зашифрованное хранилище для учетных данных, гарантируя, что секреты никогда не будут раскрыты в логах сборки, системе контроля версий или файлах конфигурации.

Когда Jenkins хранит учетные данные, они шифруются с использованием Java Cryptography Extension (JCE). Это шифрование привязано к уникальному файлу master.key, хранящемуся на контроллере Jenkins. Эта архитектура означает, что доступ к файловой системе контроллера должен строго контролироваться.

Основные типы учетных данных

Понимание доступных типов учетных данных — это первый шаг к безопасной реализации. Выберите тип, который наиболее точно соответствует хранимому секрету:

  1. Secret Text (Секретный текст): Используется для общих, коротких текстовых значений, таких как токены API, ключи доступа, токены OAuth или секреты вебхуков.
  2. Username and Password (Имя пользователя и пароль): Стандартная пара, используемая для аутентификации в службах, таких как репозитории Maven, приватные реестры (Docker Hub, Artifactory) или внутренние приложения.
  3. SSH Username with Private Key (Имя пользователя SSH с приватным ключом): Необходим для доступа к удаленным агентам, клонирования приватных Git-репозиториев или выполнения команд на удаленной инфраструктуре. Приватный ключ может быть введен напрямую, предоставлен как путь или управляться контроллером Jenkins.
  4. Secret File (Секретный файл): Используется для загрузки целых конфиденциальных файлов, таких как хранилища ключей, сертификаты (.pem, .crt) или файлы конфигурации, содержащие секреты.

Совет: Всегда используйте максимально детализированный тип учетных данных. Например, если вам нужен только ключ API, используйте Secret Text, а не пытайтесь вписать его в поле «Имя пользователя и пароль».

Принцип наименьших привилегий: Определение области действия учетных данных

Область действия учетных данных определяет, где они доступны в среде Jenkins. Применение принципа наименьших привилегий — предоставление только необходимого для работы доступа — имеет решающее значение.

1. Системная область действия

Учетные данные системной области действия (хранящиеся в Manage Jenkins > Manage Credentials > Jenkins) доступны глобально для всех задач, папок и конвейеров в экземпляре Jenkins.

  • Использование: Используйте системную область действия только для секретов, требуемых для всей работы Jenkins, таких как учетные данные, используемые глобальными плагинами конфигурации, или секреты, необходимые для всех подключений агентов.
  • Предупреждение: Минимизируйте использование системной области действия. Любая скомпрометированная задача потенциально может получить доступ ко всем глобально доступным секретам.

2. Область действия папки

Учетные данные, ограниченные папкой, определяются внутри конкретной папки (созданной с помощью плагина Folder или через папки организации). Эти секреты видны и доступны только для задач, находящихся в этой папке и ее подпапках.

  • Рекомендация: Всегда отдавайте предпочтение области действия папки. Это разделяет доступ и ограничивает радиус поражения в случае компрометации одного проекта.

Безопасное внедрение в декларативные конвейеры

Жесткое кодирование учетных данных в скриптах конвейера или использование стандартных переменных среды строго запрещено, поскольку переменные среды могут быть легко раскрыты в логах или командах оболочки.

Безопасный метод доступа к учетным данным в декларативном конвейере — использование встроенного шага withCredentials. Этот шаг загружает указанные учетные данные в переменную среды ограниченной области действия, которая доступна только во время выполнения блока.

Пример 1: Внедрение секретного текста (токена API)

Этот пример безопасно извлекает учетные данные типа Secret Text (MY_API_TOKEN) и присваивает их значение внутренней переменной SECRET_TOKEN. После завершения блока withCredentials, SECRET_TOKEN автоматически удаляется из среды.

pipeline {
    agent any
    stages {
        stage('Deploy via API') {
            steps {
                script {
                    withCredentials([string(credentialsId: 'MY_API_TOKEN', variable: 'SECRET_TOKEN')]) {
                        // Используйте безопасно внедренную переменную
                        sh "echo 'Calling external API...'"
                        sh "curl -X POST -H 'Authorization: Bearer ${SECRET_TOKEN}' https://api.mycorp.com/deploy"
                    }
                    // Переменная недоступна вне этого блока
                    sh 'echo "Attempting to access token: ${SECRET_TOKEN}"'
                    // ^ Это выведет null или предыдущее значение переменной среды (защита от случайного раскрытия)
                }
            }
        }
    }
}

Пример 2: Внедрение имени пользователя и пароля

При использовании учетных данных типа Username and Password, шаг withCredentials разделяет секрет на две переменные: одну для имени пользователя и одну для пароля, обычно с суффиксами _USR и _PSW (или пользовательскими именами).

pipeline {
    agent any
    stages {
        stage('Login to Registry') {
            steps {
                withCredentials([usernamePassword(credentialsId: 'DOCKER_REGISTRY_CRED', usernameVariable: 'DOCKER_USER', passwordVariable: 'DOCKER_PASS')]) {
                    sh "docker login -u ${DOCKER_USER} -p ${DOCKER_PASS} my.registry.com"
                }
            }
        }
    }
}

Предупреждение о безопасности: Скрытие логов

Jenkins автоматически пытается скрывать значения учетных данных из стандартных логов сборки. Однако это основано на простом сопоставлении строк. Никогда не используйте echo для вывода значения переменной учетных данных. Если отладка требует знания содержимого переменной, убедитесь, что вы используете скрытую форму, предоставленную шагом withCredentials, и немедленно удалите отладочный вывод после решения проблемы.

Расширенная интеграция безопасности

Для сред с высокими требованиями к безопасности полагаться исключительно на локальный главный ключ Jenkins часто недостаточно. Интеграция с внешней системой управления секретами обеспечивает разделение ответственности, централизованный аудит и расширенные возможности шифрования.

Внешние хранилища учетных данных

Популярные интеграции включают:

  • HashiCorp Vault: Используя плагин Vault Plugin, Jenkins может динамически запрашивать секреты из Vault во время выполнения. Это означает, что секреты никогда не хранятся постоянно на контроллере Jenkins, а только временно в памяти во время фазы выполнения.
  • AWS Secrets Manager/Azure Key Vault: Облачные плагины позволяют конвейерам получать секреты непосредственно из этих служб, используя роли IAM или принципы службы, минимизируя статическое раскрытие учетных данных.

Использование внешних хранилищ соответствует лучшим практикам безопасности благодаря:

  1. Разделению хранения: Инфраструктура секретов отделена от сервера CI/CD.
  2. Динамическому доступу: Секреты могут часто ротироваться без необходимости ручного обновления конфигурации Jenkins.
  3. Расширенному аудиту: Все попытки доступа к секретам регистрируются во внешней системе хранилища.

Управление доступом на основе ролей (RBAC)

Реализация плагина RBAC (например, Role-based Authorization Strategy) позволяет администраторам контролировать не только то, кто может запускать задачу, но и то, кто может конфигурировать и просматривать определенные учетные данные.

  • Определите роли, которые предоставляют разрешение на использование учетных данных (например, Job.UseCredentials).
  • Ограничьте возможность изменения или создания учетных данных системного уровня небольшой группе администраторов безопасности или платформы.

Обзор лучших практик управления учетными данными

Практика Описание Выгода для безопасности
Использовать область действия папки Ограничьте доступ к учетным данным конкретными задачами/папками, которые их требуют. Ограничивает раскрытие и радиус поражения.
Избегать жесткого кодирования Никогда не размещайте секреты в Jenkinsfile, скриптах сборки или системе контроля версий. Устраняет уязвимость исходного кода.
Использовать withCredentials Безопасно внедряйте секреты в шаги конвейера, используя официальный API Jenkins. Обеспечивает автоматическое скрытие логов и очистку среды.
Интегрировать внешнее хранилище Используйте Vault, AWS Secrets Manager или Azure Key Vault для корпоративных развертываний. Разделяет хранение и позволяет динамическую ротацию.
Применять RBAC Используйте плагины авторизации, чтобы ограничить, кто может конфигурировать, просматривать и использовать учетные данные. Обеспечивает принцип наименьших привилегий среди пользователей.
Регулярная ротация Регулярно меняйте ключи API и пароли (желательно автоматически через внешнее хранилище). Минимизирует временное окно для использования скомпрометированных секретов.
Защитить контроллер Обеспечьте строгие права доступа к файловой системе на контроллере Jenkins для защиты master.key. Защищает основной механизм шифрования.

Следуя этим лучшим практикам, вы превратите Jenkins из потенциальной уязвимости безопасности в надежный, безопасный механизм автоматизации, обеспечивающий ответственное обращение с конфиденциальными данными на протяжении всего жизненного цикла CI/CD.