Купівля 2025 року. IBM HashiCorp — автоматизація та захист для хмарної інфраструктури
Вітаю. Сьогодні, в останній день 2025 року, я хочу пригадати подію, яку можливо багато хто з нас пропустив. Це придбання компанією IBM постачальника інструментів автоматизації для хмарної інфраструктури HashiCorp.
27 лютого 2025 року IBM офіційно закрила купівлю HashiCorp, постачальника інструментів автоматизації для хмарної інфраструктури (включно з Terraform, Vault тощо), за приблизно $6,4 млрд.
Хоча IBM має великий досвід щодо корпоративних платформ і гібридних хмар (включно з Red Hat), HashiCorp приніс потужні інструменти автоматизації і мульти-хмарної оркестрації, що особливо важливо для сучасних корпоративних розгортань та AI-орієнтованих сервісів.
Слово Hashi в японській мові означає міст, і HashiCorp є таким собі мостом у мультихмарний безпечний світ. Ще коли тільки світ почав сприймати хмару як середовище для запуску додатків та масштабування бізнесу, HashiCorp усвідомила можливості, які відкривають такі зміни, й те, що це вимагає переосмислення всієї інфраструктури та методів управління нею.
HashiCorp створила продукти, що забезпечили тисячі організацій технологіями для реалізації планів з цифрової трансформації. Наразі база комерційних замовників складає близько 5000 компаній, а всього було здійснено близько 500 000 000 завантажень різних версій програмного забезпечення від HashiCorp.
Розглянемо детальніше інструменти HashiCorp Terraform та Vault, які широко використовуються для уніфікованого управління інфраструктурою.
HashiCorp Terraform
Давайте почнемо з Terraform, який є ключовим продуктом в портфелі, та вже використовується тисячами організацій по всьому світу.
Terraform – інструмент для автоматизації та управління інфраструктурою, в більшості випадків хмарною, але є можливість інтеграції і з «on premise» технологіями. Terraform, дозволяє створювати, змінювати та видаляти інфраструктуру за допомогою декларативного підходу, що значно спрощує DevOps процеси. Звучить дуже узагальнено, так?
Давайте наведемо простенький приклад з веб-сервером для вашого сайту, який потрібно швидко запустити в хмарі AWS, уявіть, що ви – адміністратор/розробник:
- Заходимо в консоль управління AWS в рамках акаунту
- Створюємо VPC (Virtual Private Cloud)
Підписуйтеся на наші соцмережі
- Створюємо, EC2 Instance
- Налаштовуємо NACL та Security Group (можливо, ви забули про цей крок)
- Підключаємось по SSH
- Встановлюємо і налаштовуємо веб-сервер NGINX
- Генеруємо і реєструємо SSL сертифікат
- Налаштовуємо ELB (Elastic Load Balancer)
- Налаштовуємо WAF (Web Application Firewall)
- Налаштовуємо залежності
- Налаштовуємо сервіс моніторингу Cloudwatch (можливо, щось налаштували не так)
- ……
Скоріш за все, це займе….1-2 години? А таких серверів потрібно 50 для dev, stage, prod… Що буде з версійністю, оновленнями, навантаженням? Контролем ресурсів в майбутньому?
З Terraform такий ресурс буде розгорнуто за декілька хвилин. Платформа використовує декларативний підхід, тобто, ми вказуємо не кроки виконання задач, а очікуваний фінальний результат, який нам потрібен в хмарній чи локальній інфраструктурі. І за рахунок концепції Infrastructure as Code ми отримуємо цей результат швидко. Забезпечується контроль використання ресурсів, мінімізується ризик людських помилок та встановлюються базові вимоги з безпеки, наприклад – не використовувати Security Group з налаштуваннями за замовчуванням.
HashiCorp Vault
Паролі, ключі, токени та інші секрети більше не є секретами, якщо хтось ділиться ними з іншими командами, репозиторії стають публічними або коли співробітники просто йдуть... маючи копії коду. Чи то через поспіх під час написання коду, чи через банальну недбалість, але відкриті облікові дані – такі як API-ключі, паролі та токени аутентифікації – створюють серйозні загрози безпеці, на яку чомусь мало хто поки звертає уваги.
Тільки за 2024-й рік колеги з GitGuardian виявили майже 24 000 000 секретів у репозиторіях GitHub. 70% секретів, виявлених ще в далекому 2022-му, досі АКТИВНІ, що явно натякає на існуючу проблему, можливо, навіть більшу ніж управління вразливостями.
Яка роль Vault у вирішенні даної проблемиt?
Vault – це інструмент для забезпечення безпечного доступу до секретів та їх своєчасної ротації.
Секрет – це будь-яка інформація, доступ до якої потрібно суворо контролювати, наприклад, API-ключі, паролі, сертифікати тощо.
Vault надає уніфікований інтерфейс для роботи з будь-якими секретами, забезпечуючи контроль доступу та ведення детального аудиту.
Основні можливості:
- Управління секретами: Централізоване зберігання, доступ та розгортання секретів (таких як токени, паролі, сертифікати) для додатків, систем та інфраструктури. Це значно зменшує ризики витоків секретів через репозиторії типу GitHub, а також забезпечує аудит використання кожного секрету.
- Динамічні секрети: Генерація унікальних, короткострокових облікових даних на вимогу, які автоматично анулюються після закінчення їх терміну дії, зменшуючи ризик компрометації спричинених використанням статичних аутентифікаційних даних.
- Секрети для Kubernetes: Інтеграція з Kubernetes для безпечного впровадження секретів у ваш стек додатків, використовуючи Helm-чарти для встановлення Vault, що мінімізує ризики витоку секретів та забезпечує безпечне їх зберігання на використання.
- Ротація облікових записів для баз даних: Автоматичне оновлення паролів баз даних за допомогою механізму секретів баз даних Vault, як додатковий метод захисту найбільш критичних даних.
- Автоматизована PKI-інфраструктура: Швидке створення X.509 сертифікатів, автоматизуючи те, що багато компаній виконує вручну для забезпечення доступу до своїх сервісів.
- Шифрування та токенізація даних: Використовується у випадку, якщо дані потрібно зберігати у захищеному форматі для мінімізації ризиків їх компрометації.
Які переваги надає робота з нами, як партнером компанії IBM, для замовників продуктів HashiCorp:
- доступ до комерційних версій продуктів, які раніше НЕ були доступні для продажу в Україні;
- доступ до функціоналу, який недоступний в open-source версіях (відмовостійкість, підтримка додаткових сценаріїв та інтеграцій, захист даних, нові можливості розгортання, рольові моделі доступу до системи та інші);
- доступ до технічної підтримки та оновлень.