Autor Sandro Savelli, Herospark
La gestión de secretos es uno de los mayores desafíos en entornos modernos de desarrollo y operaciones. Dejar contraseñas hardcoded en repositorios, compartir tokens en chats o configurar manualmente accesos sensibles abre brechas de seguridad graves. Herramientas como HashiCorp Vault ofrecen una solución robusta para almacenar, acceder y controlar secretos de forma segura, auditada y automatizada.
Dependencias necesarias Vault CLI helm kubie kubectl y acceso al clúster Magalu Cloud MGC
Acceso al clúster MGC Para interactuar con un clúster Kubernetes provisionado en Magalu Cloud es necesario el archivo kubeconfig con credenciales y contexto. Desde el panel de la MGC descargue el archivo de configuración y en su terminal aplique el contexto con el comando kubie ctx -f /ruta/al/config.yaml
Instalación vía Helm gestionada por ArgoCD Instale Vault como aplicación gestionada por ArgoCD guardando el values.yaml del Helm chart oficial en el repositorio que ArgoCD monitorea. Cree un manifiesto Application en el repositorio con la referencia al chart de HashiCorp y al archivo values.yaml. Un ejemplo simplificado del spec del Application puede contener destination namespace ns-vault project default sources apuntando al repo de infraestructura y al chart de HashiCorp y la sección helm valueFiles apuntando al archivo values.yaml active syncPolicy automated con opciones prune selfHeal CreateNamespace y ServerSideApply
Una vez versionado el archivo application.yaml en el repo monitorizado por ArgoCD aplíquelo al clúster con kubectl apply -f ruta/al/application.yaml
Acceso a la interfaz web Si necesita usar la interfaz web del Vault para la configuración inicial exponga el servicio localmente ejecutando un port forward kubectl port-forward -n [namespace] svc/[nombre-del-servicio-vault] 8200:8200 y luego abra en su navegador https://localhost:8200 Durante el primer acceso se inicia el proceso de inicialización donde se generan las Unseal Keys y el Root Token. Guarde esas credenciales de forma segura.
Seal Unseal y Root Token El Vault opera inicialmente en estado selado Seal que impide lecturas y escrituras hasta ser desbloqueado. El Vault se sella automáticamente tras la inicialización reinicios comando manual vault operator seal o fallas críticas en HA. Para desbloquearlo se realiza el proceso Unseal. En la inicialización el Vault genera varias Unseal Keys y se requiere un quorum mínimo de ellas para pasar a modo operativo. Las claves se pueden introducir desde la Web UI o la CLI ejecutando vault operator unseal [Unseal-Key-1] vault operator unseal [Unseal-Key-2] vault operator unseal [Unseal-Key-3] cuando se alcanza el quorum el Vault queda operativo. Junto a las Unseal Keys se genera un Root Token con privilegios administrativos totales que debe protegerse con extremo cuidado.
Almacenamiento y recuperación de secretos El Vault utiliza engines de secretos para guardar información. La engine KV Key Value es la más común y permite pares clave valor. En la Web UI cree secretos desde la sección correspondiente introduciendo pares o pegando un objeto JSON. En la CLI escriba secretos con el comando vault kv put secret/db password=supersecret y lea con vault kv get secret/db El Vault cifra automáticamente los datos y la lectura está gobernada por políticas de acceso.
Habilitar engines de secretos Puede habilitar engines según necesidad como KV para secretos estáticos, engines de base de datos para credenciales dinámicas o PKI para certificados TLS. En la Web UI use Secrets Engines Enable new engine y defina el path. En CLI habilite una engine KV en el path secret con vault secrets enable -path=secret kv
Políticas de acceso El control de acceso se realiza mediante políticas escritas en HCL que definen acciones permitidas por path. En la Web UI use Policies Create ACL Policy y en CLI cree un archivo policy.hcl con reglas por ejemplo path secret/data/db { capabilities = [read] } y aplique la política con vault policy write read-db policy.hcl Asocie luego estas políticas a tokens, entidades o métodos de autenticación.
Integración con ArgoCD mediante ArgoCD Vault Plugin AVP Para integrar Vault con aplicaciones gestionadas por ArgoCD utilice el ArgoCD Vault Plugin AVP que sustituye referencias a secretos en los manifests por valores reales extraídos del Vault evitando almacenar información sensible en Git. Instale el plugin en la imagen del repositorio de ArgoCD y configure su uso. En los manifests sustituya valores por referencias al Vault por ejemplo en un Secret apiVersion v1 kind Secret metadata name ejemplo-secret stringData PASSWORD path:secret/data/db#password El plugin resolverá esa expresión y aplicará el valor real al desplegar la aplicación. Tras cualquier cambio en secretos realice un Hard Refresh de la aplicación en ArgoCD para que los valores se reapliquen en el clúster.
Buenas prácticas y seguridad Automatice el unseal y la rotación de tokens cuando sea posible use backends de almacenaje compatibles con su arquitectura HA habilite el logging y el audit trail configure políticas mínimas necesarias para aplicaciones y use mecanismos de autenticación pluggable integrados con su plataforma de identidad.
Acerca de Q2BSTUDIO En Q2BSTUDIO somos una empresa de desarrollo de software enfocada en ofrecer aplicaciones a medida y software a medida para clientes que requieren soluciones personalizadas y seguras. Somos especialistas en inteligencia artificial, ciberseguridad y servicios cloud incluyendo AWS y Azure. Si necesita modernizar su infraestructura o desplegar soluciones que consuman secretos de forma segura podemos ayudarle desde la arquitectura hasta la implementación aprovechando HashiCorp Vault y buenas prácticas DevSecOps. Conozca nuestros servicios de desarrollo de aplicaciones y software a medida visitando desarrollo de aplicaciones y software multiplataforma y descubra nuestras capacidades en servicios cloud para AWS y Azure en servicios cloud AWS y Azure
Palabras clave incluidas aplicaciones a medida software a medida inteligencia artificial ciberseguridad servicios cloud aws azure servicios inteligencia de negocio ia para empresas agentes IA power BI para mejorar posicionamiento web
Para profundizar consulte la documentación oficial de HashiCorp Vault y del ArgoCD Vault Plugin y considere integrar estas prácticas con su estrategia de ciberseguridad y automatización.