Menu English version
Blog Infra como Código

Case de sucesso: HashiCorp Vault ajuda a New Relic a gerenciar credenciais

Conheça o case de sucesso da empresa com o uso da plataforma da Hashicorp

A New Relic é uma empresa líder em inteligência digital, oferecendo visibilidade e análise completa para mais de 14.000 contas comerciais pagas. A plataforma da New Relic fornece insights úteis que geram resultados para negócios digitais: empresas de todos os tamanhos confiam na ferramenta para monitorar o desempenho de aplicativos e infraestrutura, de modo que possam resolver problemas rapidamente e melhorar as experiências digitais dos clientes.

Com o crescimento acelerado da empresa, os sistemas e a infraestrutura aumentaram significativamente de tamanho. Por isso, a equipe de TI passou a enfrentar desafios para armazenar e gerenciar credenciais de maneira segura. A solução utilizada foi o Hashicorp Vault, plataforma que possui uma abordagem consistente e confiável para realizar o gerenciamento de credenciais.

 

Desafios do gerenciamento de credenciais

A plataforma da New Relic cresceu até o ponto no qual vários sistemas (internos e de terceiros) estavam integrados entre si. Dessa maneira, cada um dos serviços da organização precisou de dezenas de credenciais para funcionar. O gerenciamento destes segredos tornou-se um obstáculo, levando a práticas de armazenamento de credenciais inconsistentes. A dificuldade de gerenciá-las resultou em sérios desafios para as equipes, que buscavam colaborar em uma única base de código.

Ao alterar uma credencial usada por um serviço envolvido, por exemplo, era preciso coordenar com várias equipes, fornecendo uma cópia da credencial alterada para cada uma delas. Quando ocorria uma notificação de segurança, a alteração de uma ou mais dessas credenciais era necessária. No entanto, devido à natureza pouco frequente dessas alterações, os procedimentos não eram bem compreendidos e levavam a frequentes interrupções no serviço causadas por uma equipe que não foi informada sobre a alteração ou sobre a inclusão de recursos e de funcionalidades incompletos na alteração.

 

O trabalho desenvolvido com o HashiCorp Vault

A New Relic escolheu o Vault como solução para gerenciar segredos e credenciais, além de duas outras ferramentas complementares da HashiCorp: o Consul foi utilizado para armazenar e fornecer alta disponibilidade para o sistema de credenciais e o HashiCorp Terraform controla o ciclo de vida do cluster de gerenciamento.

O principal objetivo do Vault é reunir as inúmeras credenciais usadas pelos serviços que compõem o conjunto de produtos da New Relic. Cada equipe recebe uma partição no back-end de credenciais genéricas para armazenar os segredos de seus serviços. Essa abordagem permite que as equipes desvinculem a alteração de credenciais do deploy de seus serviços e armazenem seus segredos em um local altamente controlado.

A arquitetura utilizada inclui um cluster do Vault para as integrações e outro para os ambientes de produção, sendo executado na conta AWS da empresa. Esta VPC está conectada ao data center principal por meio do Amazon Direct Connect. Ademais, a empresa tem 5 hosts executando o Vault, com 5 hosts executando o Consul como o back-end de armazenamento. Também é utilizado um load balancer com verificações de integridade, que trabalha diretamente com o Vault.

Ao longo do processo, a equipe assimilou inúmeros aprendizados que a ajudaram a avançar no uso eficiente da solução:

  • Tenha certeza de que você tem um processo bem pensado e praticado para serviços on-boarding. Isso é especialmente importante no primeiro lançamento do Vault. Quando os desenvolvedores da New Relic ouviram falar de um sistema seguro e fácil de usar que resolveria seus problemas de gerenciamento de credenciais, eles estavam muito dispostos a realizar esta migração.
  • Para garantir um deploy tranquilo e sem interrupções na ferramenta, alguns serviços de baixa complexidade foram migrados para o Vault logo no início. Isso permitiu testar o processo de integração e resolver quaisquer dúvidas que não foram explicitamente mencionadas nas discussões e na documentação.
  • Antes de lançar o Vault, tome um cuidado especial para planejar como as credenciais serão particionadas de acordo com a equipe e com o serviço. Isso pode ser difícil de alterar quando o Vault é muito usado. No entanto, o planejamento poderá economizar um tempo significativo da sua equipe no futuro.

 

Assim, a NewRelic planeja usar o Vault para realizar a rotação contínua de credenciais, utilizando os vários back-ends dinâmicos para criar credenciais de acesso de curta duração. Isso inclui a emissão de certificados da PKI interna para serviços de autenticação de cliente e criptografia inteligente. Além disso, a equipe pretende aproveitar ainda mais os back-ends dinâmicos para automatizar o acesso e a revogação para serviços como a AWS, o acesso ao host e o deploy de certificado usando a PKI integrada.

O Vault se tornou parte essencial da estratégia de segurança na New Relic. Ele, juntamente com alguns outros serviços, cria a base da infraestrutura que simplifica temas complexos como o gerenciamento de credenciais e auxilia a equipe de TI a dar o próximo passo em direção a um sistema mais confiável, disponível e seguro.

 

Conheça o Hashicorp Vault

O HashiCorp Vault é a solução usada para proteger qualquer infraestrutura e qualquer aplicativo. O Vault fornece um workflow consistente para armazenar e gerenciar credenciais com segurança, além de auxiliar na criptografia e permitir o gerenciamento granular de acesso a privilégios. A Instruct é parceira oficial da HashiCorp no Brasil para a realização de consultoria estratégica e projetos personalizados. Para saber mais sobre a solução, clique aqui.