Školení HashiCorp Vault

Co je to Vault a k čemu se používá

HashiCorp Vault je nástroj pro bezpečnou správu citlivých dat (secrets), šifrovacích klíčů a identit. Řeší typické problémy moderního provozu: hesla v konfiguračních souborech, sdílené tajné klíče v CI/CD, „zapomenuté“ přístupy v aplikacích a nedostatek auditu nad tím, kdo měl k čemu přístup. Vault poskytuje centralizované místo, kde jsou tajemství šifrovaná, auditovaná a řízená přístupovými politikami.

Zásadní výhodou Vaultu oproti běžným „password vault“ řešením je možnost dynamicky generovat přístupové údaje s krátkou platností (např. pro databáze nebo cloudové služby), automaticky je rotovat a revokovat. To výrazně snižuje dopady úniku tajemství a umožňuje bezpečný přístup „jen na nezbytně dlouho“. Vault je proto často klíčovou součástí DevSecOps a moderní infrastruktury, kde se bezpečnost automatizuje stejně jako deploy.

Vault podporuje provoz v High Availability režimu, nabízí široké možnosti autentizace (AppRole, LDAP…), různé typy secret engines (KV, Database, PKI, Transit…) a poskytuje auditní logy pro dohledatelnost a compliance.

Jak školení probíhá

Školení probíhá formou praktického workshopu. Nejprve si vysvětlíme základní koncepty Vaultu (storage backends, seal/unseal, tokeny, policies) a proč je Vault zásadně odlišný od „ukládání hesel do proměnných“. Následně si Vault společně nainstalujeme, zinicializujeme a bezpečně nakonfigurujeme.

Prakticky si nastavíme přístupová práva pomocí Policies (ACL), vyzkoušíme různé autentizační metody a několik nejpoužívanějších secret engines. Ukážeme si práci s KV pro ukládání secrets, Database engine pro dynamické credentials a PKI pro vydávání certifikátů. Součástí bude i ukázka Vault Agent a běžných integračních patternů: přístup k secrets přes API, injected secrets do aplikací.

Zaměříme se i na produkční provoz: jak navrhnout HA, jak řešit storage (např. Raft), backupy, upgrade strategii, audit logging, rotaci a revokaci přístupů a hardening. Cílem je, aby účastník odcházel s praktickou zkušeností, jak Vault nasadit a používat bezpečně v reálném prostředí.

Co se naučíte

• Teoretický úvod do Vaultu – proč Vault, jaké problémy řeší, základní koncepty a workflow
• Instalace a architektura – init, seal/unseal/auto-unseal, tokeny, audit logs, storage backends, HA základy
• Policies (ACL) – kdo má kam přístup, princip least privilege, návrh oprávnění
• Secret Engines – KV, Database (dynamické credentials), PKI (certifikáty), případně Transit (šifrování)
• Auth Methods – Token, AppRole, LDAP/AD a kdy který použít
• Vault Agent – injection secrets, auto-auth, caching a bezpečná integrace do aplikací
• Integrace s aplikacemi – API přístup, sidecar pattern, best practices pro runtime
• Produkční hardening – bezpečné nastavení, rotace/revokace, monitoring, upgrade a provozní doporučení
• IaC konfigurace a správa služby

Pro koho je školení určeno

Pro DevOps, platform týmy, security inženýry i vývojáře, kteří potřebují bezpečně spravovat aplikační tajemství, klíče a přístupové údaje a chtějí se zbavit statických secrets roztroušených v konfiguracích, CI/CD a repozitářích. Školení je vhodné jak pro týmy, které s Vaultem začínají, tak pro ty, které Vault už používají, ale chtějí si ujasnit architekturu, správně nastavit policies, auth methods a provozní best practices.

Kurz je přínosný také pro organizace, které řeší compliance, audit přístupů, rotaci secrets a bezpečné napojení aplikací na databáze a cloudové služby.

Technické požadavky

• Základní znalost Linuxu a práce v terminálu
• Přístup na internet
• Docker (výhodou)