FoDo 'n' Friends - Secret Management mit Pattern-Son (Felix) und Leon

00:00:00: Ja, folgt mal, dann lass mal starten.

00:00:03: Dann starten wir jetzt dann.

00:00:05: Alles klar, folgt mal.

00:00:06: Heute ... Ich sag, es ist Donnerstagmorgen.

00:00:10: Wir nehmen heute auf am XXI.

00:00:12: August, obwohl diese Folge erst wesentlich später rauskommt.

00:00:15: Das ist für alle Freunde, der von Zukunftsfilmen und Zeitparadoxen sonst ist das eigentlich eine gute Sache, weil wir nehmen heute eine Folge auf, die Referenzen auf, die danach folgende Folge hat.

00:00:29: Und es kann sein, dass wir uns hier und da dann ab und zu mal irgendwo verstricken in ... Plottlücken, die dann halt irgendwie nicht funktionieren oder in irgendwelche zeitlichen Themen.

00:00:41: Genau, weil wir nehmen heute auf und gesendet wird diese Folge im September den Zehnten.

00:00:48: Genau, und zwar nach den Container-Days, aber wir nehmen die so früh auf, weil du ja leider im Urlaub musst.

00:00:54: Deswegen haben wir uns gedacht, fangen wir ein bisschen früher an.

00:00:59: Aber ich würde sagen, das war genug der Einleitung.

00:01:02: Wir sind auch schon warm gelaufen.

00:01:03: Dementsprechend würde ich jetzt einfach mal das Intro empfehlen, was hoffentlich diesmal funktioniert.

00:01:07: Und dann können wir mal in die Folge gehen.

00:01:12: Was ist los?

00:01:13: Eben hat es funktioniert.

00:01:14: Es ist... Ach, warte mal.

00:01:17: Warte mal.

00:01:19: Nee, warte mal.

00:01:21: So.

00:01:31: So.

00:01:32: Und da sind wir schon in der Folge gefragt.

00:01:34: Und du hast heute, oder wir haben heute nicht du, beide haben heute ein spannendes Thema mitgebracht bzw.

00:01:41: erst mal spannende Gäste, wollen wir zuerst die Gäste einladen.

00:01:45: Das können wir machen, dann sitzen die nicht so rum.

00:01:48: Genau, ganz liebe Kollegen und Gäste, zum einen, also ich würde euch mal als Automation-Engineers vorstellen, das sind so die Hauptautomatisierer, aber natürlich Generalisten wie wir auch, der Felix Kerker und der Leon Krass.

00:02:03: Hallo, ihr beiden.

00:02:04: Moin.

00:02:05: Hallo

00:02:05: zusammen.

00:02:06: Wie

00:02:06: geht's euch?

00:02:07: Moin.

00:02:09: Felix.

00:02:10: Ich aufrufe.

00:02:14: Wie geht's dir?

00:02:14: Erzähl, wer bist du?

00:02:16: Was machst du so?

00:02:18: Schön, endlich mal wieder mit euch vom Mikrofon zu sitzen.

00:02:21: Lange nicht, on air gehört auf jeden Fall.

00:02:23: Genau.

00:02:24: Interessantes Gefühl.

00:02:25: Die eine oder andere Person oder Hörer in draußen kennt vielleicht die wunderschöne Stimme von Felix noch aus dem Focus on the News Podcast.

00:02:34: Wir haben ihn heute, sag ich mal, aus dem... Kerker geholt.

00:02:40: In unseren Podcast.

00:02:41: Entschuldigung.

00:02:42: Der musste sein, Felix.

00:02:43: Schön, dass du da

00:02:43: bist.

00:02:44: Konntest du nicht meiden?

00:02:45: Nein, war unvermeidbar.

00:02:47: Kein

00:02:48: Problem.

00:02:49: J-Brag vor dem Frühstück, das ist immer... So stehe ich auf jeden Fall.

00:02:53: Der Stand ist im Einnahmen nicht aus, weil du nicht für den Witz benutzt habt.

00:02:56: Leon, ich hoffe, dass wäre zu krass.

00:03:00: Deswegen Leon, dich herzlich willkommen.

00:03:02: Vielleicht könnt ihr euch beide mal vorstellen.

00:03:03: Ich fahr mit Leon an.

00:03:04: Wer bist du und was machst du so?

00:03:06: Ja, ich bin der Leon Krass, ich bin Technik-Lieder für das Produkt HashiCop Vault bei der SVA.

00:03:13: Ja, dementsprechend mache ich ein bisschen Dinge mit Sequiz und so weiter, also das spielt da unter anderem ganz gut rein.

00:03:21: Ich habe gehört, da soll es heute rumgehen.

00:03:24: Das ist unsere Folge heute.

00:03:25: Mitunter oder fast ausschließlich, um euch jetzt nicht zu erschrecken.

00:03:29: Und Felix, vielleicht, ich glaube, du brauchst eigentlich keine wirklichen Vorstellungen, aber vielleicht kannst du nochmal für die Leute sagen, die den Fokus von Jungs Podcast damals nicht gehört haben.

00:03:39: Wer genau bist du, beziehungsweise was machst du, was ist so dein Steckenpferd?

00:03:43: Das ist gar nicht so einfach zu beschreiben, aber ich habe es irgendwann mal festgenagelt.

00:03:47: Ich beschreibe mich immer als Infrastrukturprogrammierer, das heißt quasi meine... Leidenschaft quasi beruflich ist jede Programmierung, die irgendwie auf die Konfiguration von Infrastruktur einspielt, ob das jetzt Cloud-Infrastruktur ist, vor allen Dingen Sachen mit Terraform.

00:04:01: Und dementsprechend aber auch das Handling von Sykes drum und herum.

00:04:05: Und das ist ja das Thema der heutigen Folge.

00:04:08: Genau, weil folgt man, ich glaube, wir können sicher sagen, das ist das Thema der heutigen Folge, um das Thema Geheimnisse geht, beziehungsweise Secrets und das Management von diesen.

00:04:19: Wer hätte es gedacht, deswegen haben wir zum einen Leon eingeladen als unseren Technik-Lieder, aber auch Felix, der relativ viel eben mit dem ganzen Infrastrukturautomatisierungen bzw.

00:04:29: auch Secrets-Management zu tun hat.

00:04:31: Und wir haben euch eingeladen unter anderem, weil ihr auf den Container-Days, die in der Zukunft liegen, deswegen dieses ...

00:04:38: Auf den Container-Days, die waren.

00:04:40: Wir können ja ruhig in der Vergangenheit sprechen.

00:04:44: Lass uns das probieren.

00:04:45: Die liegen jetzt in der Zukunft, zum Zeitpunkt der Aufnahme, aber für euch liegen sie in der Vergangenheit.

00:04:48: Und da habt ihr einen Vortrag gehalten.

00:04:52: Und ich würde gerne von euch wissen, wie war dieser Vortrag.

00:04:54: Also nicht, was ihr da ... sondern wie war er denn überhaupt?

00:04:57: Ihr werdet gehalten haben.

00:04:58: Genau, ihr werdet gehalten haben.

00:05:00: Und es wird gut gewesen sein, hoffentlich.

00:05:02: Also er wird allen gefallen haben.

00:05:05: Ja, das auf jeden Fall.

00:05:06: Genau, aber was habt ihr den Vortrag überhaupt vorgestellt?

00:05:10: Genau, ich muss kurz sagen, der Vortrag heißt Where To Hide Your Dirty Technical Secrets In Kubernetes.

00:05:15: So hab ich das damals gelesen.

00:05:19: Genau, und was steckt dahinter?

00:05:21: Wo geht's da in den Talk?

00:05:23: Was habt ihr da gesprochen haben werden?

00:05:29: Ja, also ich versuch's mal ganz grob zusammenzufassen.

00:05:32: Und zwar gibt es ja wirklich mittlerweile diverse Wege, wie man Secrets innerhalb von Kubernetes verwalten kann.

00:05:38: Ich meine, natürlich gibt es, ja, standardmäßig denkt man natürlich erstmal an die Kubernetes-Ressource, die mit dem Namen Secret entsprechend, ja, bei irgendwo müssen die Sachen ja auch herkommen, in das Cluster reinkommen und vielleicht können die auch irgendwie anders in dem Cluster gespeichert werden.

00:05:53: Vielleicht kann ich die auch einfach in dem Persistent Volume ablegen.

00:05:57: Ja, und gerade mit dieses ganze Handling, wie kommen die Sachen da rein?

00:06:01: Wo kann ich die Sequiz außerhalb des Clusters ablegen?

00:06:04: Da dreht sich unser Vortrag drum.

00:06:06: Hast du noch eine Ergänzung?

00:06:07: sonst, Felix?

00:06:10: Ja, hinter diesem, wie sagt man, ein Titel der Brain Afka.

00:06:16: Ein Titel, der einfach nur dazu da ist quasi möglichst viel Aufmerksamkeit zu erregen.

00:06:20: Klickbait.

00:06:21: Ja, schon ein bisschen Klickbait, ja.

00:06:24: Das müssen die ja sein, das kommen die da gar nicht rein.

00:06:26: Genau, versteckt sich quasi eben, ja, ein, zwei Twists auf dieses Thema, was ja relativ groß und viele Facetten hat und auch schon von vielen Ecken beleuchtet wurde.

00:06:37: Ich finde es spannend, es wurde unter anderem auch in der Ankündigung einmal falsch verstanden.

00:06:42: Und da wurden wir angeteasert damit, wie man quasi als Red Team.

00:06:46: seine Payload versteckt in Kubernetes, was auch ein interessantes Thema ist.

00:06:50: Aber darüber haben wir nicht gesprochen, falls sich der eine oder andere, der das im Nachhinein hört, noch an diese Ankündigungen erinnert und sagt, deswegen bin ich eigentlich nicht gekommen.

00:07:00: Es kam auch nur in einer Info-Mail vor.

00:07:02: Vielleicht hat da auch irgendeine generative KI was falsch generiert oder so.

00:07:07: Man will ja niemandem was unterstellen.

00:07:09: Vielleicht wurde es auch einfach falsch verstanden.

00:07:11: Das ist gut möglich.

00:07:12: Ihr seid nicht zu zweit.

00:07:14: Die Lisa Fussen ist noch eine, liebe Kollegen von uns.

00:07:17: Ist auch dabei, wenn ich das richtig in Erinnerung hab.

00:07:19: Zu dritt seid ihr da auf der Bühne.

00:07:21: Geballte Power, sag ich mal so, richtig?

00:07:24: Oder war noch jemand?

00:07:24: Ja,

00:07:25: das ist korrekt.

00:07:26: Ich glaub, wir sind sogar auch das einzige Team, was zu dritt nen Tor kält.

00:07:29: Ich mein noch keinen anderen Speakerflyer oder Speakerbanner auf LinkedIn oder sonstwo gesehen zu haben, wo drei Leute sprechen.

00:07:38: Aber es ist so ... Also, wir haben uns das ganz gut aufgeteilt.

00:07:41: Das passt eigentlich ziemlich gut von der Aufteilung her.

00:07:44: Der Talk geht irgendwie in drei Sekunden.

00:07:46: Das heißt, jeder hat dann zehn Minuten und kann zehn Minuten zwei Unterthemen irgendwie behandeln.

00:07:50: Also, genau.

00:07:52: Ich finde, ich glaube, das ist auch eine gute Dynamik, ihr seid halt drei schöne, schöne Persönchen.

00:07:58: Freundliche Persönchen.

00:08:00: Also im Einzelnen höre ich euch gerne zu und auch da, ich glaube, ich hätte den Talk gehört haben wollen.

00:08:09: Ich werde vielleicht dabei gewesen sein.

00:08:11: Ja.

00:08:12: Es

00:08:12: gibt ja eine Aufzeichnung.

00:08:14: Genau.

00:08:14: So

00:08:15: werde

00:08:15: ich mir auf jeden Fall angucken, genau.

00:08:17: Damit ich euch hier nach und nach noch anfeuern kann.

00:08:19: Ich glaube, das Wichtige ist ja auch, wir haben auch keine.

00:08:22: Also ich nehme an, dass wir wenig Sachen quasi angesprochen haben, die jetzt supergeheim sind, sondern dass wir im Prinzip einfach immer nur typische Sachen, die halt in diesem Feld auftauchen, immer mal wieder aufs Tablett bringen und so wie jetzt quasi dann so ein bisschen darüber diskutieren können, damit der Diskurs um diese verschiedenen Ansätze, die es eben gibt, um dieses eigentlich Standardproblem zu lösen.

00:08:43: um die eben immer mal wieder anzusprechen, vielleicht auch immer mal wieder mit Leuten zu diskutieren, dass halt dann im Zweifelsfall auf bestimmte Sachen jemand kommt und sagt hey das ist cool, aber hast du schon von X Y gehört, das einfach immer wieder auf die Agenda zu setzen, auch wenn das Thema an sicher nicht neu ist.

00:09:00: Ja, man muss auch immer so ein bisschen abwägen, manche Lösungen ergeben tatsächlich dann halt auch in einem anderen Kontext mehr Sinn, also... Ich habe schon so ein paar Sachen im Kopf, ich weiß nicht, ob man es vielleicht schon mal in den Raum werfen kann, aber sowas wie ein Bitnami-Seal-Sequiz, das ist ja sicherlich im Kontext vom Multicluster-Management z.B.

00:09:16: schwieriger zu händeln, als wenn ich den zentralen Sequiz-Manager habe, den ich meine Sachen speicher.

00:09:23: Genau, also je nach Kontext muss ich dann das verschieden der Faktoren auch abwägen, aber da können wir gleich sicherlich im Detail nochmal ein bisschen genau darüber sprechen.

00:09:29: Auf jeden Fall, auf jeden Fall, genau.

00:09:31: Vielleicht gehen wir erst mal auf Initial, versuchen wir mal das Thema Secret zu definieren, was wir haben, oder?

00:09:37: Also das ist glaube ich so, was ist denn sicherungswürdig?

00:09:40: Also natürlich ist jeder Art von Daten sicherungswürdig, aber im Grunde halt, welche Daten sind besonders sensibel und müssen geschützt werden.

00:09:49: Was gibt's da so und wo finden die statt?

00:09:51: Das ist, glaube ich, so das, was man so sagen kann.

00:09:54: Also da würde ich jetzt fällt mir sofort Tokens beziehungsweise Passwörter natürlich ein.

00:09:59: Das ist, glaube ich, die unterste Form der Secrets, die dann halt wo denn überall zu finden sind.

00:10:08: Ich würde

00:10:09: sagen, man kann das eigentlich ziemlich generalisieren.

00:10:11: Also ein Secret ist mal jede Art von Information, die in den falschen Händen oder quasi wenn nicht die Entität besitzt darüber erlangt oder Zugriff darauf hat, die dafür vorgesehen ist, einen Bruch der klassischen quasi Sicherheits des Sicherheitsdreifaks irgendwie bewirken kann.

00:10:29: Also ein Bruch von eben Vertrauen, also der Geheimhaltung Confidellogy von Daten verändert kann, die nicht verändert werden sollten, also Schlüsselmaterial, Integrity oder eben quasi dazu sein kann, eben die verfügbarkeit eben von bestimmten systemen zu kompromittieren.

00:10:47: availability also quasi und sobald diese und wenn diese informationen was auch immer das ist trocken schlüssel zfk hat was auch immer geeignet ist bei einem anderen system dieses dreieck zu brechen würde ich das erziegelt einstufen.

00:11:01: das ist glaube ich die formale definition.

00:11:04: ich kann dir sogar noch also ich würde noch was hinzufügen.

00:11:07: das ist Tatsächlich, ich weiß es schon eher eine persönliche Interpretation, aber die durchaus in vielen Kontexten Sinne gibt.

00:11:15: Ich sehe auch personenbezogene Daten als Secrets an, da mittlerweile durch verschiedenste gesetzlichen Regularien, die wir unterworfen sind, diese Daten ja auch als sehr schützenswert gelten.

00:11:30: Deshalb ergibt es auch durchaus in dieser einem sicheren Ort abzulegen, gerade wenn es mal irgendwie in Richtung Prüfung von gewissen offiziellen Stellen geht.

00:11:41: Da wird es sogar fast philosophisch, glaube ich.

00:11:43: Also es ist nicht nur persönlich, da wird es fast philosophisch.

00:11:45: Selbst ein Telefonnummer kann halt schon ein kritischer Punkt sein, wenn du dann halt in irgendeiner Weise irgendwelche Fishing-Anrufe kriegst.

00:11:51: Das hat sich auch irgendwie geändert über die Jahre.

00:11:54: So, und jetzt geht es natürlich darum, gehen wir jetzt mal davon aus, dass wir jetzt über diese klassischen Secrets sprechen, die halt in unserem Kontext halt Infrastruktur und Entwicklungsautomatisierung dann halt irgendwo verwendet werden.

00:12:07: Ja, also fangen wir mal an, wo kann ich initial halt Secrets nutzen und wie kann ich diese sichern?

00:12:14: Also ich habe so gerade beim, wenn jemand schon was sagen will, dann kann er mir ruhig helfen.

00:12:21: Genau, aber gerade bei der Entwicklung, wenn wir DevOps sprechen, dann reden wir erst mal über die Entwicklung.

00:12:27: Dann wird zum Beispiel im Pipelining halt Pipelines.

00:12:31: Nehmen wir mal Pipelines, Entwicklungspipelines.

00:12:33: Da habe ich Secrets und die möchte ich sichern.

00:12:36: Da ist erst mal noch kein Kubernetes am Start, da ist erst mal nur halt irgendwo.

00:12:40: vielleicht Infrastruktur, mit der ich sprechen möchte, vielleicht ein Datenbank-Server.

00:12:45: Wie ...

00:12:47: Ich hoffe, ich fahre

00:12:48: nicht jetzt hier nicht.

00:12:50: Alles gut.

00:12:51: Ich blicke in leere Gesichter.

00:12:52: Genau.

00:12:55: Wie könnte ich die halt ... Ja?

00:12:58: Also, ich glaub, du willst da auf hinaus, ne?

00:13:01: Das fängt ja schon allein, wenn wir uns das genau angucken.

00:13:04: Wir haben jetzt bei uns im Podcast vor allem die Brille auf die Betriebsumgebung, aber es fängt ja eigentlich schon in den Korten, in den Repositories an.

00:13:12: Also, ich meine ... Wenn wir jetzt nicht über Quellcode reden, dann zumindest vielleicht über Environment Dateien oder Punkt Endverteilen oder sowas, die in irgendeinen Container reingemountet werden oder in Dockerfiles oder sowas.

00:13:23: Da kann ja auch ein Environment angegeben werden.

00:13:26: Also es gibt zahlreiche Angrusspunkte.

00:13:28: Ich glaube, darauf wollte es ruhig hinaus, oder?

00:13:30: Ja,

00:13:30: genau.

00:13:31: Danke.

00:13:32: Ich denke aber ein bisschen zurück und ich glaube, ja, doch der erste Kontakt, den ich im Prinzip zu diesem ganzen Thema Sequence Management irgendwie hatte, war damals, als ich noch Anwendungsentwickler war und es dann wirklich mal darum ging, eine App irgendwie... Bereitzustellen.

00:13:45: und da hat man eben mal gemerkt, so, ja, wir haben den Housecode jetzt halt in der Visionskontrolle liegen.

00:13:50: Also, das war damals sogar noch erst vor allem und nicht geht, aber der war meint.

00:13:54: Äh, Leon ist schon

00:13:58: ein bisschen

00:13:59: älter.

00:13:59: Wie alt bist du noch mal?

00:14:02: Ich bin sechsundzwanzig, aber ich hab halt noch mit des

00:14:04: vorangehaut.

00:14:04: Okay, alles klar.

00:14:09: Na ja, aber letztlich ist man dann so auf die Idee gekommen, dass das irgendwie keine gute Idee, wenn irgendwelche Passwörter halt da drin liegen.

00:14:17: Und dann hat man sich ja mit dem Thema beschäftigt.

00:14:19: und ja, wie festgestellt, okay, es gibt dann verschiedene andere Systeme, in denen man die Dinge besser ablegen kann.

00:14:26: Gut,

00:14:27: das ist schon mal eine gute Erkenntnis, aber das Problem ist, wenn ich gerade über geht oder ein Versionierungssystem sprechen, ja, wenn da einmal ein Secret irgendwo drinsteht, dann kriegst du es ja nicht mehr wieder raus.

00:14:36: Also, es ist ja nun mal so.

00:14:37: Ich weiß gar nicht.

00:14:39: Wenn

00:14:39: dir dann eine Historie liebes, ja.

00:14:40: Ja, genau.

00:14:42: Wo man auch noch mal eine Brücke machen kann an der Stelle ist der Code.

00:14:45: Jetzt, wenn man bei Leon's Anwärtsentwicklungsbeispiel bleibt, wofür braucht der Code den Secrets?

00:14:50: Und das lässt sich ja eigentlich auch, wenn man jetzt, man kann den Fall mit quasi... Also mit Daten, noch mit Datensicherheit noch mit reinbringen.

00:14:57: Aber im Prinzip ist es ja irgendeine Art von Authentication, das heißt der Code selber, irgendeine Submethode muss sich authentizieren bei irgendeinem anderen System, DB Server, was weiß ich auch immer, also vielleicht auch wenn es eine Cloud-Anwendung ist bei der drum-rum-liegenden Cloud-Infrastruktur, das heißt schon ein neueres Beispiel wäre.

00:15:14: Aber im Prinzip irgendeine Art von Authentication, das heißt dafür müssen irgendwelche Keys, vielleicht auch Z-Figate, irgendeine Art von Quasi credential muss dem Code beigebracht werden, meistens über ENF oder Encryption Keys.

00:15:27: Also der Code selber muss halt irgendeine Art von Encryption machen, vielleicht eben für die personenbezogene Daten, die in der DB gespeichert werden, vielleicht auch immer.

00:15:35: Und diese Art von Secret muss dem Code irgendwie beigebogen werden.

00:15:38: quasi im besten fall halt zu laufts also irgendwie in die laufzeit umgebungen der ausführung kommen.

00:15:44: und dann ist die frage wie macht man das eben?

00:15:46: und da waren wir quasi ja bei dem bei eurem einschicks beispiel end files klasse system halt source from from end.

00:15:53: und dann ist die frage wie verteilt man das?

00:15:55: muss das in jeder umgebung der der code läuft immer die gleiche art von informationen sein?

00:15:59: dann kommen wir zu verteidungsproblemen Und ich glaube, von der Ecke können wir uns, glaube ich, so ein bisschen durchhangeln und gucken, was haben wir da für Arten von Secrets und wie kann man die typischerweise dem Code so beibringen?

00:16:13: Genau, also wir hatten ja eben schon so ein bisschen die Differenzierung zwischen den technischen Secrets, das waren die, die du auch gerade referenziert hast und die persönlichen datenschutzrelevanten Secrets, die Leon noch mal mit reingebracht hat.

00:16:24: Und ich glaube, wenn wir gerade über die Entwicklung sprechen, dann reden wir vor allem von technischen Secrets.

00:16:29: Richtig.

00:16:30: Wie du gerade auch schon gesagt hast, das fängt halt an bei allen möglichen Abhängigkeiten, die man vielleicht in den Zielumgebungen braucht, die dann entsprechend auch separiert werden.

00:16:38: Man muss sich Gedanken machen, man muss sich Gedanken machen über eine Versionierung, über die verschiedenen Stages und so weiter und so fort.

00:16:42: Aber meiner Meinung nach fängt das schon viel früher an.

00:16:45: Zum Beispiel habe ich jetzt gerade gesehen, dass alle möglichen GitLab-Secrets in einem Container drin liegen.

00:16:50: Und ich frage mich, warum liegen GitLab-Secrets in einem Container drin?

00:16:52: Warum liegen die Zertifikate von GitLab?

00:16:56: in den Container drin, den wir in der Produktivumgebung einsetzen.

00:16:59: Ich verstehe da, ich hab das gesehen, was machen die ganzen Zertifikate da drin.

00:17:04: Aber auch das, letztlich kann man sich da Gedanken darüber machen, warum liegen die überhaupt, sollte ich damit nicht ein bisschen vorsichtiger umgehen.

00:17:10: Also ich glaube, letztlich fängt das ist das Problem nicht erst, was brauche ich in meiner Produktivumgebung, sondern unter Umständen auch einfach ... kein spezifisches Least Privilege Prinzip in der Softwareentwicklung, sondern es wird einfach alles reingepackt.

00:17:26: Das fängt schon damit an, was pack ich in mein Dockerfile rein, oder?

00:17:29: Also letztlich noch früher, genau.

00:17:32: Noch

00:17:32: früher, deswegen bei der Entwicklung deiner Anwendung an.

00:17:34: Also wenn du wirklich deinen, was weiß ich, C-Sharp-Pipe im Jahr war, was auch immer Code schreibst, muss ja alleine schon dafür sorgen können, dass eine Anwendung überhaupt von externen Quellen irgendwie Zugangsdaten beziehen kann.

00:17:46: Du kannst sie auch an den Code hat.

00:17:49: Reinkohlen, was ich niemand empfehlen würde, aber das geht.

00:17:53: Aber das fängt bei der Anwendungsentwicklung, fängt das bereits an.

00:17:56: Die Anwendung muss entsprechend so entwickelt sein, dass sie von externer Quelle Secrets beziehen kann.

00:18:02: Und das kann im idealen Fall sogar teilweise so geschehen, dass direkt entsprechende APIs bedient werden von... externen Lösungen die Secrets bereitstellen.

00:18:14: Also was weiß ich, ich kann.

00:18:15: zum Beispiel für Haschiko Vault beispielsweise gibt es etliche Klein Libraries, die ich in meinen Source Code mit einbinden kann, wenn ich das möchte.

00:18:25: Okay, kannst du das noch ein bisschen, also speziell, was sind das dann für Libraries, die ich da halt mit platzieren kann, dann in meinen Libraries?

00:18:32: Ja, so lässt sich Libraries, die mir Methoden, Funktionen, wie auch immer, je nachdem, was für ein Programmierparadigme ich verwende, anbieten, die ich dann halt in meinem Quercode einfach aufrufen kann, um halt eben gewisse Secrets aus Haschikop-Wolten dem Fall abzurufen, genau.

00:18:50: Natürlich muss ich mich da auch noch wieder um die Authentifizierung am Haschikop-Wolte kümmern.

00:18:54: Das heißt, an einer Stelle habe ich dieses Problem mit dem sogenannten Secret Zero, wird es immer wieder genannt, also ich muss... Auch an meinem Sequence Manager muss ich mich irgendwie anwählen und dafür brauche ich eine Initialen Zugriff oder Zugangsektor.

00:19:06: Da muss man schauen, wie man den Auslag hat.

00:19:09: Gibt es aber ein, zwei Tricks.

00:19:12: Aber sobald ich das habe, kann eine Anwendung sich dann mit den Libraries entsprechend selbstständig die Dinger aus dem Vault holen an der Stelle.

00:19:20: Gibt es auch für andere Produkte, diese Libraries.

00:19:23: Wir

00:19:23: könnten hier quasi immer so ein kleines Symbol setzen, so Pattern.

00:19:27: Wenn wir quasi wenn jemand ein bestimmtes Muster quasi erwähnt das generell einzuordnen also in dem Fall hat der beschreibt leon quasi die Dichte Bindung der Applikationssoftware an das Sequence Management System, egal welches das ist quasi, das wäre so ein bisschen wie ein allgemeines Pattern, Twelve Factor quasi ReadFromEnf, also so generalisiert und in dem Fall sagen, okay, pass auf, wir machen das, die Applikation weiß, welches Sequence Management um es herumläuft, so ein bisschen wie quasi Cloud Anwendungen in dem Sinne oder Cloud Native Anwendungen, Cloud Aware sein können.

00:19:58: Also ich weiß, ich laufe in Azure und kann die Azure Methoden nutzen.

00:20:01: Und so wäre das quasi, ich laufe in Anwesenheit von HashiCop.

00:20:05: und kann mich deswegen darauf verlassen, Vault-Methoden zu verwenden.

00:20:09: Und dann wird quasi der Punkt, wo die Secrets konsumiert werden, durch eben die Client-Library dediziert, abgebildet.

00:20:15: So, hat Vorteile, Nachteile.

00:20:18: Vorteil auf jeden Fall, du hast kein System mehr drum herum.

00:20:21: Also viele Sachen, die wir dann später besprechen könnten, wie man seine Secrets zur Applikation bekommt, brauche ich ja in this service.

00:20:27: für mich, wenn die Applikation direkt zur Laufzeit dann halt eine aus dem Prozess heraus, mit dem Sequence Management kommunizieren kann, dann muss ich da eben nur credentials zu dem entsprechenden System zuführen.

00:20:41: Und habe deswegen eine relativ sichere Setup.

00:20:44: Dafür muss aber meine Applikationsentwicklung natürlich intern sein.

00:20:47: Also die wenigsten Applikationen, die ich so zukaufen und zu liefern kann, werden so ein Setup halt unterstützen.

00:20:56: Du kaufst einen Applikations-Stack, die dir vorschreibt, dass das z.B.

00:21:00: Nagikopfort oder die Azure Secret-Lösung benutzt wird.

00:21:03: Das Problem ist dann aber, du hast ja gesagt, es gibt Vorteile, dass jetzt die Vorteile genannt, der Nachteil daran ist, dass du absolut nicht souverän bist gegenüber den Lösungen.

00:21:15: Mit TashiCorp Vault, z.B.

00:21:17: ist jetzt Teil von IBM, geht es sehr weiter, aber der Punkt ist, wenn ich z.B.

00:21:21: jetzt eine Lösung nehme wie in Physical, die wahrscheinlich auch so eine Möglichkeit bietet, dass man sich da anbinden kann oder sowas.

00:21:27: Und es erinnert sich irgendwie was oder es gibt eine Änderung, dass ich diese Lösung nicht mehr verwenden möchte, da muss ich nicht nur meine Infrastruktur anfassen, da muss ich auch meinen gesamten Quellcode auseinandernehmen.

00:21:36: Und dann... fängt es halt an, je nachdem, wie groß meine Codebase ist, dass es dann doch schon größere Eingriff für Nachsicht ziehen kann, sag ich mal so.

00:21:43: Und ich glaube, auch wenn das eine gute Idee ist, wollte ich mal in die Runde fragen, wie oft habt ihr das schon gesehen, dass das so gelöst wird?

00:21:50: Selten.

00:21:51: Also ich habe es sehr selten gesehen.

00:21:53: Ich finde auch, es ist valide, die Sequence von extern reinzubringen, weil dadurch, dass ich eine Client Library einbinde, habe ich natürlich direkt eine, wie du es gerade auch schon sagt, eine sehr harte Kopplung zu dem entsprechenden Backend.

00:22:06: Das ist natürlich ähnlich wie, als wenn ich eine Datenbank verwende.

00:22:09: Da muss ich dann auch natürlich, dass ich jeden Sprechen in kleinen Libraries verwende.

00:22:13: Wobei man aber auch fairerweise sagen muss, dass sich mit entsprechenden Patterns auf der Programmi-Ebene auch wieder loserkoppeln, also Interfaces und so weiter.

00:22:22: Genau.

00:22:23: Aber im Endeffekt habe ich schon eine härtere Kopplung zu dem Sequence Manager, als wenn ich irgendwie über das Environment oder über eine Datei oder so die Sachen in die Zielanwendung reinspeise.

00:22:34: Wie oft sieht man es in der Praxis?

00:22:35: Ich habe ehrlicherweise keine Anwendung außer selbstgeschriebene Anwendungen beim Kunden, die dann halt kleinere Aufgaben erfüllen, die direkten Sequence-Mensche anbinden.

00:22:47: Ich weiß nicht, ob du da ... andere Erfahrungen, was Felix?

00:22:50: Man kann die beiden Gedanken zusammenbringen.

00:22:51: Wir fällt tatsächlich ein Praxisbeispiel ein, wo es möglich ist, wenn quasi die Applikation intern gut geschrieben ist und für die selbe Aufgabe, zum Beispiel, also konkret das Beispiel, was ich zur Praxis habe, ist Encryption as a Service, mehrere quasi Backend Adapter bietet.

00:23:06: Und dann kann einer davon quasi kann, also dann kann man das ja austauschen.

00:23:10: Und das können dann quasi, es gibt ein Wall Plug-in, es gibt eine Physical Plug-in, es gibt aber theoretisch auch einen Self-Managed Key Plug-in, wo man einfach den IES Key über Env einliest.

00:23:19: So, und da kenne ich schon, ein Beispiel wäre zum Beispiel, es gibt für MySQL Plug-ins, die Table Encryption bieten.

00:23:27: Und da kann man direkt die Vault Transit Engine anbinden, als Encryption as a Service Provider für die Table Encryption.

00:23:37: Das ist ja eine direkte Anbindung an das SQL-System mit einer bestimmten Funktion davon, aber eben nur in einer Reihe als Adapter.

00:23:45: So, das könnte ich mir theoretisch auch für das Lesen von bestimmten Secrets vorstellen.

00:23:50: Man muss das aber dann, wie du genau gesagt hast, eben sauber programmieren, damit man da eben nicht in den Lock in reingerät und wenn man halt irgendwas ändern will, seine komplette Applikationen wegschmeißen muss und dann im besten Fall muss man da eben nur den Adapter tauschen.

00:24:04: Ich denke da immer sofort an so Schnittstellen Standardisierung, aber das ist hier nicht möglich.

00:24:09: Wir reden grundsätzlich über proprietary Schnittstellen, die halt irgendeinerweise irgendwie dann halt die ich... die ich entweder halt irgendwie cover muss, indem ich halt was dazwischenstelle, was das dann halt auffängt, beziehungsweise dann halt im zwei für zwei dann um.

00:24:22: Es

00:24:23: gibt Standards, die findet man dann aber eher im bereichten Zertifikatsmanagement.

00:24:28: Also ich denke an Akme oder an Scab.

00:24:34: Genau, aber jetzt so für, ich sag mal, diese klassischen Sequence, über die wir jetzt gerade so sprechen, sprich irgendwie, was das ich, Datenbank, credentials oder so, wäre mir jetzt kein Standard geläufig.

00:24:45: Bei Keymanagement.

00:24:46: Aber ja, auf jeden Fall interessant, mal darüber nachzudenken.

00:24:49: Vielleicht können wir da mal was in den Gang bringen.

00:24:52: Bei Keymanagement ist das noch ein Ding, also quasi, wo wir gerade waren, als ich es aus Versehen gedroppt habe, zum Beispiel KMIP, ist ja ein Standard quasi für die Bereitstellung von Encryption Keys.

00:25:02: dass man quasi eine neue Generierung nutzen kann und so was.

00:25:06: Also da ist das schon ein Ding.

00:25:08: Ja, also ist es eigentlich eher dann dahin, diese Standards ein bisschen mehr zu forcieren, um dann halt auch hier so eine Glättung der Umgebung.

00:25:16: Weil es ist ja, es ist in unserer Welt so, ja, viele Sachen standardisieren sich einfach durch.

00:25:20: Du hast halt Standardschnittstellen, die dann halt einfach genommen werden und dann halt unabhängig genutzt werden können, weil man dann halt nicht diese Bindung haben möchte.

00:25:30: oder beziehungsweise dann halt den Geraus, davon wegzukommen, wenn man dann den Provider wechseln möchte.

00:25:35: Du musst übrigens sagen, dass ich vorhin falsch schlage.

00:25:38: Ich habe gesagt, mir fällt keine Anwendung ein.

00:25:39: Das stimmt nicht.

00:25:41: Tatsächlich gibt es doch einige Anwendungen, die so direkt Anbindung haben.

00:25:44: Das sind dann hauptsächlich eher die Anwendungen, die diese aber auch noch weiter verarbeiten.

00:25:47: Ich denke gerade an Ago CD zum Beispiel.

00:25:50: Ago CD hat Plugins zu diversen Secrets-Managern hin oder Ansible-Helm-File solche Geschichten.

00:25:58: Ja, ja.

00:25:59: Stimmt, so ist mir eben auch der Gedanke nicht gekommen.

00:26:01: Aber ja, zum Beispiel, wenn wir jetzt über diese Standardisierung von diesen Interfaces sprechen, ich meine, Felix war das gerade ein Beispiel genannt, so wirklich geläufig ist es allerdings noch nicht, oder?

00:26:17: Ich glaube, es kommt ein bisschen auf die Gruppe an, also auf die Klasse von Problemen, mit denen man sich beschäftigt.

00:26:22: Ich glaube, man muss in dem Feld sehr differenziert sein, quasi welche konkrete Aufgabe von encryption oder secrets management oder ja wir müssen auch mit dem wording manchmal ein bisschen tricky sein.

00:26:32: also welche konkrete Aufgabe man da meint und dann gucken okay wie weit verbreitet ist dieser standard in dieser problem domain?

00:26:40: so also wo man auf jeden fall glaube ich sagen kann dass applikationen die sich jetzt um einfaches quasi lesen und speichern von so key value secrets haben.

00:26:50: ich glaube da kenne ich tatsächlich keinen konkreten standard weil jeder api die es da gibt immer relativ konkrete Funktionen implementiert, also alle mehr oder weniger das gleiche, aber es ist ja immer eine quasi eigene REST API.

00:27:03: Und da gibt es soweit, ich weiß keinen Standard.

00:27:06: Ja, da stimme ich dir zu, also es hängt total davon ab, was ich jetzt gerade für eine Art von Secret habe, so Kiweliopare ist die einfachste Form, das ist... Ja, auch nicht geläuft, dass da irgendein Standard gibt.

00:27:19: TLS-Zertifikate oder generell Schlüsselmaterial-Zertifikate.

00:27:24: Da gibt es wie gesagt Standards für Skepp, Acme, fällt mir gerade ein.

00:27:28: K-Map hatten wir, ansonsten.

00:27:31: Aber das hat ja, da mögen jetzt vielleicht DB-Leute nochmal reinspringen, aber das hat ja auch bei anderen strukturierten Daten nicht geklappt.

00:27:37: wenn ich an verschiedene SQL-Dialekte denke, dass quasi jede Implementierung ihre eigene Retreven and Retrieval Sprache irgendwie hat.

00:27:49: Übrigens auch so Zugänge in Datenbank-Systemen oder vielleicht auch in Azure oder anderen Clouds und so weiter.

00:27:57: Auch das sind Secrets, die dynamisch von so Systemen erzeugt werden können.

00:28:03: Also auch da... gibt es dann quasi als Standard wieder das jeweilige Protokoll der entsprechenden Gegenseite.

00:28:10: Also ich kann ja schon mit SQL-Befehlen, habe ich ja schon einen gewissen Standard, auch um Nutzer-Accounts, Grants und so weiter zu machen auf Datenbanken.

00:28:19: Also auch sowas lässt sich mit entsprechender System vermanagen.

00:28:24: Ja, jetzt haben... Ja, frag mal, du wolltest noch was sagen.

00:28:27: Ja, ich hatte noch so die Idee, halt Authentication-Provider sind im Grunde halt ja auch so eine Art von Secret.

00:28:33: Also im Grunde bindest du dich halt auch an irgendwelche Ad-Ups oder Entra-IDs und hast halt die Möglichkeit dann auch natürlich dann halt so ein Transfer an Informationen zu liefern, damit du dich authentifizieren kannst.

00:28:45: Also das ist absolut.

00:28:48: Jetzt haben wir relativ viel über Arten von Ziegels gesprochen und wie man diese entsprechend auch anbinden kann direkt im Quellcode.

00:28:56: Wir haben auch die Problematik beleuchtet, warum das vielleicht eine Idee ist, die man machen kann und warum es vielleicht nicht so weit verbreitet ist.

00:29:02: Wenn wir jetzt aber, sag ich mal, die Domäne der Entwicklung verlassen, und wir gehen hin Richtung Bildungsprozesse und Deployment.

00:29:10: Wir haben, ich glaube, folgendes Mal, ich hatte in der letzten News-Folge darüber berichtet gehabt, oder wir werden berichtet haben, dass sich der... Da haben

00:29:20: wir berichtet.

00:29:21: Genau, der SEAL Secrets... SEAL Secrets Project ist ja von Bitnami entsprechend und... könnte auch betroffen sein.

00:29:29: Es gibt noch keine Ankündigung.

00:29:30: Ich glaube, es lang läuft es weiter.

00:29:32: Aber durch die, sag ich mal, Ziele, die Bitnami sich jetzt gesteckt hat oder die, die ich Bitnami durchgesetzt haben und auch der External Secret Operator pausieren so ein bisschen, weil eben da zu wenig Maintainer mit dabei sind.

00:29:45: Und jetzt frage ich mich an euch, okay, was habe ich denn, wenn ich eine Pipe dann habe, beispielsweise auch dafür eine Möglichkeit, da gibt es ja auch Möglichkeiten außerhalb dieser bekannten Möglichkeiten mit C-Secrets und dem External Secret Operator.

00:29:56: den Wolt mit einzubinden, aber wenn ich jetzt praktisch meinen Container gebaut habe oder meine Artifakt gebaut habe und ich bring es in die Runtime, was für Möglichkeiten habe ich da praktisch mit meinen Secrets umzugehen, bzw.

00:30:06: was sehe ich dir dafür Problematik kennen?

00:30:13: Also du meinst quasi, wenn man schon an der Stelle ist, dass das Secret in dem entsprechenden Zielsystem liegt, also egal in welcher Form, also ob jetzt irgendwie als Datei oder... Ich meine, gut, ich würde es nochmal für den Kontext ein bisschen reinbringen.

00:30:27: Wir hatten ja gerade Ziel-Sequits oder den External-Sequits-Operator, also bewegen wir uns ja schon im Kubernetes-Umfeld jetzt.

00:30:33: Genau, und im Kubernetes-Umfeld gibt es ja das klassische Artifakt des Kubernetes-Sequits.

00:30:38: Das ist ja innerhalb von Kubernetes die typische Möglichkeit, eben ein Sequit entsprechend abzuspeichern.

00:30:45: Was vielen dabei nicht bewusst ist, ist, dass dieses Secret im Hintergrund ja in der Datenbank vom Kubernetes landet.

00:30:51: Das ist typischerweise ein ATCD.

00:30:53: Und typischerweise ist dieses ATCD nicht verschlüsselt.

00:30:57: Das heißt, sobald irgendjemand zugruf auf dieses ATCD erlangt kann, kann er sich im Prinzip aus dem ATCD alle Secrets da wieder rausziehen.

00:31:08: Das heißt, gerade wenn ich mich irgendwie in geschärten Umgebungen usw.

00:31:11: bewege, dann ist es... durchaus doch mal einen Ansatz darüber nachzudenken, ob ich die Secrets vielleicht nicht irgendwie anders als in diesen nativen Kubernetes-Secrets abzulegen, ob ich das vielleicht irgendwo anders ablegen möchte, beispielsweise in dem Volumen.

00:31:26: Also tatsächlich finde ich tatsächlich die Secrets-Ressource in Kubernetes.

00:31:30: Ich glaube, Du hast es vorhin schon mal so angeht.

00:31:33: Tan-Mode verstehe ich tatsächlich nicht ganz so.

00:31:36: Also im Grunde haben wir jetzt hier so ein Kript-Mechanismus, der einfach nur Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base-Base.

00:31:53: Genau und wichtig ist ja hier auch zu wissen, weil du gesagt hast, wenn ich Zugriff auf den LCD habe, in welcher Form auch immer, das bedeutet halt Cluster Zugriff, bedeutet ja automatisch Zugriff auf den LCD, das bedeutet jedes Secret, auf das ich Zugriff habe, kann ich lesen, wenn ich das möchte.

00:32:07: Also ist es halt im Grunde halt kein guter Mechanismus, um Secrets abzulegen, gerade wenn ich Cluster habe, die... So eine Art von Multitenancy oder was weiß ich dann halt hergeben, wo dann halt auch verschiedene Teams oder Leute da halt drauf umwurscht sind, die eigentlich keinen Zugriff auf die Secrets haben sollten.

00:32:24: Genau, also Implikationen dahinter sind auch, wir reden natürlich jetzt erstmal über Kommunismus-Umgebung, aber auch da, es gibt ja auch die, wenn man sein Klasser hat, möchte die Anforderung, dass man eben die ITC die verschlüsselt.

00:32:34: Ich glaube, das sollte man auch zuerst machen.

00:32:36: Nächstes ist es trotz... Ja, das ist ja auch viel dann wiederum mit Rollenrechtekonzept und so weiter zu tun.

00:32:40: Du hattest eben angesprochen Leon, wenn da überhaupt jemand Zugriff hat und der hat eben Exis, der eben nicht nach dem Motto Lease Privilege erfolgt, dann kann man nämlich auch ein Secret arbeiten.

00:32:53: Aber jetzt möchte ich auch nochmal, sag ich mal, vielleicht die Frage den Raum stellen.

00:32:59: Wir haben gerade eben gesagt, okay, Wir wissen nicht genau, oder ich kann es nicht ganz nachvollziehen, warum die Secrets in Kubernetes so sind, wie sie sind und wie sie verhalten werden.

00:33:07: Aber ich muss sagen, wenn wir so eine Lösung haben, mit der wir eben Secrets verwalten können, wie eben dem Vault, dann wird diese ganze Schiene Secrets und was ein Secret und was ist eine ConfigMap beispielsweise, weil es gibt ja diese Distinktion in Kubernetes, verschümmt meiner Meinung nach so ein bisschen.

00:33:23: Weil aus Faulheit fange ich dann an, ConfigMaps auch als Secret zu betrachten.

00:33:28: weil ich sie einfach wesentlich einfacher extern-managing kann.

00:33:32: Ich kann Konfigurationen auch über zum Beispiel ein Secrets-Tool wie Revolte zentralisiert verwalten und in alle meine Umgebungen ausholen.

00:33:40: Das ist vielleicht nicht der initiale Use Case davon, aber das ermöglicht es mir, ohne dass ich mit der Covenitis AP interagieren muss oder irgendwelche Manifeste abändern muss, wo gegebenenfalls Dinge Hardcoded sind oder sowas.

00:33:53: Was sagt ihr dazu?

00:33:54: Genutzt ich Vault richtig oder ist das einfach nur meine Faulheit?

00:33:57: Ich hab doch schon öfters gehört, dass im Prinzip Vault auch so ein bisschen wie so eine CMDB benutzt wird.

00:34:05: Was auch ja in gewisser Weise legitim ist, finde ich.

00:34:09: Weil ja, oft sind der Sequiz eben auch Teil einer entsprechenden Konfiguration.

00:34:15: Und ich sag mal, wenn ich jetzt irgendwie da auch anfange, noch ein zweites System irgendwie dahin zu stellen, Ja, dann wird das irgendwann beliebig komplex, was Konfigurationsmanagement angeht.

00:34:26: Deswegen kann man schon so machen.

00:34:28: Also, finde ich nicht, ich würde nicht sagen, dass das irgendwie Bad Practice ist oder so.

00:34:33: Genau, und der Punkt ist, dass der Punkt ist ja auch noch größer.

00:34:37: Wir reden jetzt nicht über Kubernetes.

00:34:38: Ja, wir reden ja jetzt auch über, ich kenne ja auch eine, ich kenne ja auch Secret, sag ich mal, in der WM aus.

00:34:43: wall konsumieren und die entsprechenden ablegen.

00:34:45: aber ich habe ein zentrales interface mit dem ich eigentlich zentralisiert meine gesamte konfiguration verwalten kann und mein meine meine secrets und ich finde das eigentlich relativ angedämmt.

00:34:54: und ich weiß natürlich dass wir wenn wir über secrets in kubernetes reden entsprechende verschlüsselung haben wollen und dass wir vielleicht mit dem injector gehen sollen von wall und so und so weiter und so fort dass das ein use case ist.

00:35:05: aber aus der user perspektive gerade wenn ich zu kunden komme die vielleicht nicht so viel mit Kubernetes zu tun haben.

00:35:10: Kann ich denn einfach sagen, guck mal, hier steht der Vault.

00:35:13: Hier könnt ihr eure Konfiguration anpassen, wenn ihr irgendwelche Änderungen habt, wenn externe Dienste sich verändern oder so was, Abhängigkeiten sich verändern.

00:35:18: Und ihr müsst gar nicht mit Kubernetes interagieren.

00:35:20: Und das ist für mich auch ein Selling-Point, sag ich mal so, von Vault, der es angenehmer macht, mit dieser ganzen Infrastruktur zu interagieren.

00:35:31: Und das propagiere ich auch gerne so.

00:35:33: Deswegen, ich hoffe, ihr verzeiht mir das, aber ich finde das eigentlich gar nicht so schlecht.

00:35:36: Aber vielleicht jetzt mal die Frage in die Runde.

00:35:37: Ja, folgt mal.

00:35:38: Ich

00:35:38: würde das Thema nochmal kurz ein bisschen aufrollen.

00:35:41: Wir haben jetzt das Ziel-Secrets, wir haben Volt gesagt, im Grunde halt die verschiedenen Speichermöglichkeiten und Funktionen.

00:35:47: Vielleicht versuchen wir mal den zu höherer Innen ein bisschen zu erklären, was das ist und was die Ansätze sind.

00:35:54: Wir haben ja schon gesagt, Kubernetes-Secrets.

00:35:56: dementsprechend, wie funktionieren eigentlich Ziel-Secrets?

00:36:00: Ja, Moritz.

00:36:02: Oder soll ich das sagen?

00:36:03: Du kannst es gerne erzählen.

00:36:04: Genau, also ... Gut, hab ich mich selber an ihr können hier ja auch durmen.

00:36:09: Ich beschreibe zu Sea of Secrets und Felix und Leon machen dann ihr Rest.

00:36:12: Genau, Sea of Secrets ist es eigentlich so.

00:36:14: Im Grunde ist es ähnlich, ja ... Nicht nutzlos, aber es ist halt, es wirft die gleiche Frage auf, die ich eben gerade schon gestellt habe.

00:36:22: Wir agieren mit Sequence und sogenannten Seed-Sequence, die ich dann halt, also im Grunde eine zusätzliche Source, die ich in meinem Git ablegen kann, die verschlüsselt ist.

00:36:30: Der Gegenschlüssel befindet sich dann halt irgendwo in meinem Cluster.

00:36:33: Es ist eine dezentrale Methode, Sequence bereitzustellen.

00:36:36: Das bedeutet, eigentlich habe ich zwei Probleme.

00:36:39: Ich habe trotzdem Sequence auf meinem Git.

00:36:41: Vorhin hat es irgendwie eingeworfen, Sequence ist halt immer schlicht und Entschlüsselung ist halt ein Thema.

00:36:47: Und das andere Thema ist halt natürlich die dezentrale Speicherung.

00:36:51: Nee, das sind zwar drei.

00:36:52: Also das andere Thema ist halt, dass aus diesem Secret wieder ein Secret ist, was dann wieder im Kubernetes halt rumliegt.

00:36:58: Zwei für zwei hast du dann halt zweimal die Sequence auf unterschiedliche Art und Weise dann drin liegen.

00:37:03: Und das dritte Thema habe ich jetzt ... vergessen, weil ich das zweite hatte, jetzt ist mir der Buffer übergelaufen.

00:37:12: Vielleicht das Management über mehrere Cluster hinweg?

00:37:15: Genau, danke.

00:37:16: Genau, das dezentrale Thema.

00:37:18: Also das bedeutet, wenn ich halt irgendwie den Schlüssel ändere oder den Cluster ändere, dann habe ich ein Problem, weil dann muss ich halt zusehen, dass das dann halt noch zusammengehalten wird mit den Repos.

00:37:28: Man könnte jetzt wieder einen Patternmarker setzen.

00:37:37: Das wäre quasi genau das, was sieht man an anderen Stellen auch.

00:37:40: Verwandte Lösungen sind zum Beispiel Enzybel Vault oder SOPS oder sowas.

00:37:44: Also eine ganze Klasse von Lösungen, die darauf basieren.

00:37:49: quasi die Leute, die Zugriff auf die Sequels brauchen, teilen den symmetrischen Schlüssel in der Regel.

00:37:55: über was welchen Weg auch immer und verlassen sich darauf, dass eben die kryptografische Methode dazu hält und entscheiden sich dann dafür, eben ihren Cypher Text public zu stellen.

00:38:06: So ein bisschen die Lösung.

00:38:07: Ich muss ein bisschen denken an Invitation Game.

00:38:11: Wir funkten Kryptext durch die Gegend und hoffen, dass keiner unseren Schlüssel knackt oder quasi die Lösung statt sich hinter der Hacke zu verstecken, zu sagen, ich gehe raus, ich habe die quasi unterstörbare Rüstung.

00:38:22: Shoot me.

00:38:25: Und dann zu hoffen, dass du hinten keine Lücke im Rücken hast.

00:38:30: Ich mein bei Seal Seekwitz bekommst du sogar von einem alliometrischen Schlüsselpaar dann entsprechend den Public Key.

00:38:38: Also ich glaube nur das Cluster kann den Kram wieder entschlüsseln.

00:38:42: und ja mit dem Public Key kann ich ja entsprechend alles beliebig fair schlüsseln.

00:38:47: Ist übrigens richtig lustig, wenn man irgendwie den Private Key mal verlieren sollte.

00:38:52: Ich spreche da auch überhaupt nicht aus Erfahrung oder so.

00:38:54: Magst du das vielleicht ein bisschen... Kannst du uns das vielleicht mal ein bisschen näher bringen, was ist passiert?

00:39:02: Wir hatten halt tatsächlich die Situation, dass wir meinen Cluster neu aufsetzen mussten und es ist halt irgendwann aufgefallen, wir hätten halt irgendwie bei den Backups auch mal den Private Key sichern sollen, der dann halt... Dafür zuständig ist, die Sachen in Zielsequiz wieder zu entschlüsseln.

00:39:20: Also ich verschlüssel ja quasi mit dem Schlüsselmaterial, was das Cluster hat, um Dinge wieder zu entschlüsseln, verschlüssel ich meine Geheimnisse, dann kann ich sie auch entsprechend in Github legen.

00:39:29: Und wenn ich dann das Cluster reinlade, kann das Cluster sich selbst quasi so diese Zielsequiz wieder zu normalen Sequiz übersetzen.

00:39:36: Und wenn ich aber diesen Private Key natürlich verliere.

00:39:41: Auf irgendeiner Art und Weise ist es egal, auf welche.

00:39:44: Dann kann das Klassas nicht werden schlüsseln und dementsprechend komme ich an meine Sequence eben nicht mehr dran.

00:39:48: Das ist sehr ärgerlich.

00:39:50: Ja, ich würde einfach vorschlagen diesen Schlüssel entsprechend einfach einen Zwicki abzulegen, oder?

00:39:55: Das ist das Beste.

00:39:57: Ja, genau.

00:39:57: Also damit sowas nicht mehr passiert.

00:39:59: Der Punkt ist, ich habe gerade gesagt, wir haben das Ding nicht geback-uppt.

00:40:02: Aber back-uppt man sowas?

00:40:03: Also das ist dann auch wieder die Frage.

00:40:05: Möchte ich, dass dann wieder solche Dinge in Backups landen?

00:40:08: Fähigste ganze Klasse.

00:40:10: Ja, Petter.

00:40:11: Ja, Pettern.

00:40:12: Genau, da ist Pettern.

00:40:13: Das ist allgemein halt ein Problem, wenn ich viel mit Kryptografie arbeite und dementsprechend das Ziel habe, meine Daten halt zu schützen.

00:40:21: An der Stelle, je mehr ich mit Schüsselmaterial zu tun habe, desto größer ist natürlich auch die Gefahr, die dadurch entsteht, wenn ich mit Schüsselmaterial entweder Verliere, es kompromittiert wird oder es wirklich einfach de facto flöten geht.

00:40:33: Also da entsteht eine ganz neue Klasse von Problemen, dass du unter anderem dein System komplett geschrotet hast, weil du einen Kiefer verloren hast.

00:40:44: Aber ich sage ganz ehrlich, unter Umständen ist die zächtlich die beste Lösung für einen Backup von Schlüsselmaterial.

00:40:49: Dieses wirklich einfach ganz stupf

00:40:52: auszudrucken.

00:40:53: Und einen Monitor

00:40:54: zu kleben.

00:40:57: Und übrigens danach auch noch mal die Warteschlange am besten von dem Drucker überprüfen, weil es gibt ganz viele tolle Drucker, die dann solche Dinge noch jahrelang in unserem Cash-Rum liegen haben.

00:41:08: Ja, da auch drauf warten.

00:41:11: Da ist es dann doch besser, sag ich mal, vielleicht auch den Volt zu benutzen in dem Fall.

00:41:18: Ich möchte jetzt mal von euch so ein bisschen eine Meinung haben, weil wir reden jetzt über Volt und natürlich wollen wir das alles hoch verfügbar haben.

00:41:26: wenn wir gerade sowieso über Secrets Manage entsprechen.

00:41:29: Ich hab das, glaub ich, auch schon mal den Felix gefragt, aber bin mal gespannt, ob sich seine Meinung verändert hat.

00:41:34: Und zwar, ich hab mir einen Vault gebaut, den hab ich in Kubernetes ausgerollt.

00:41:37: Ich hab das mit dem Ralfbag entgemacht und so weiter und so fort.

00:41:39: Aber jetzt läuft der Vault in Kubernetes, wenn das Problem ist.

00:41:42: Wenn ich neue Pots hochziehe oder ich ersetze meine Pots, ich skaliere oder sowas, dann sind die Pots ja erst mal in einem Anzielt-State.

00:41:49: Das heißt, ich hab keinen Zugriff darauf.

00:41:51: Und irgendwann ist der Vault dann weg, weil es kein Pott mehr gibt, der jemals ... Anzielt war.

00:41:55: Das heißt, ich habe mir die Lösung genommen, dass ich eine Transit Engine gebaut oder dass ich die Transit Engine genutzt habe und mir zweiten Volt in eine WM gestellt hat, der entsprechend die Anzielkeys hat.

00:42:04: Und immer wenn sich praktisch der neuer Portogfett, dann verbindet er sich über die Transit Engine mit dem anderen Volt, der entsprechend auf der WM läuft, holt sich da die Anzietokens und anzielt sich selbst.

00:42:14: Ist das eine Lösung oder gibt es da eine bessere Lösung?

00:42:17: Ist eine valide Lösung die wir auch quasi in Projekten so einsetzen kann man auch offen sagen ist auch quasi tatsächlich auf der Reihe von Lösungen die es halt quasi gibt für dieses klassische Auto ein Zielproblem.

00:42:29: um eben eine Vereinbarkeit zu haben zwischen Sicherheitskette, also ein kryptografischer Kette und Maintenance.

00:42:35: Also wenn du im Prinzip das Szenario hast, was du beschrieben hast, du musst quasi immer manuell das Schlüsselmaterial halt dann eingeben, was im Messenfall an mehrere Leute verteilt ist, hast du ja automatisch, wenn das Cluster irgendwie down geht, nachts eine Rufbereitschaft von X, Y Leuten und dementsprechend ja auch eine lange Zeit oder eine Zeit, die du haben musst, bis diese... drei von fünf Leuten wach sind und verfügbar, wenn sie überhaupt wach sind und dann kommen.

00:42:58: Deswegen ist es durchaus eine legitime Lösung, da quasi auch einen weiteren Mechanismus zu setzen.

00:43:04: Man muss sich nur quasi klar sein, dass dieser Transitanziel, dieser weitere Volt, dann Teil der kryptografischen Kette ist.

00:43:11: Also, dass man den dementsprechend nicht komplett ungeschützt rumliegen lassen muss und dass wenn die Keys quasi die man dazu hat, wiederum, die sollten natürlich auf dementsprechend die Leute verteilt werden.

00:43:22: Das beschreibt man, eigentlich müsste man weiter ausholen, weil du damit ein Fass aufgemacht hast, was ja eigentlich ein relativ spezifisches Problem beschreibt, das durch die Lösung von Walt entstanden ist, mehr oder weniger die Kies zu verteilen mit Charmier's Secret Sharing auf mehrere Personen.

00:43:38: Das ist jetzt für Leute, die das dieses Problemdomain gar nicht kennen, ein bisschen Out of Context quasi sagen.

00:43:44: Okay.

00:43:45: Aber es ist auf jeden Fall valide, ich weiß ganz genau, was du meinst.

00:43:49: Weil vielleicht um das auch nochmal abzuholen, ich weiß, dass der... der wall der exit steht ist Teil der kryptografischen kette.

00:43:55: das problem ist nur weil einfach jemand mal so aufgesetzt hat und die secrets nicht gestärkt hat.

00:44:00: ich möchte jetzt nicht damit sagen dass das jemals passiert ist aber es könnte vielleicht sein das heißt der volt mal abgeraucht ist weil die weil die zertifikate abgelaufen sind und du musst ja den volt neu starten wenn die Das dann eventuell der Fall war, dass ich mich gefragt habe, wo sind denn überhaupt die Secrets dafür hin?

00:44:16: Ich habe sie wieder bekommen, aber das ist jetzt schon zweitens passiert und ich frage euch, was ich von der ersten

00:44:20: Meinung gelernt habe.

00:44:21: So eine Katastrophe, die Recovery oder die Anzielkeys im Wiki gespeichert.

00:44:26: Das habe ich natürlich nicht gemacht, aber der Punkt ist natürlich, gerade wenn man ist als Dienstleister, sage ich mal, meinem Kunden unterwegs und ... Man hilft dem Kunden so ein bisschen, die Infrastruktur aufzubauen.

00:44:39: Aber zwischen Projektfertigstellung und Kunden-Enablement gibt es ein Gap.

00:44:45: Wenn man jemanden die Kies überreicht, der aber irgendwann nicht mehr beim Kunden ist und das nicht mit übergeben hat, dann hat man ein gigantisches Problem.

00:44:55: Und was dann in Zweifel bei den Zertifikaten dann wieder landet, wenn die halt entsprechend erneuert werden müssen.

00:45:01: Und das ist meiner Meinung nach ein Problem.

00:45:02: Ich wünsche mir, es wäre besser gelöst.

00:45:04: Ich weiß aber auch nicht.

00:45:05: Wie ich es besser lesen könnte.

00:45:07: Und wenn ich diese ganze.

00:45:09: Secret Aspekte betrachte.

00:45:11: Dann denke ich mir, wir haben eben über Secret gesprochen.

00:45:13: Wir haben über das gesprochen, was Leon unter Umständen nicht passiert ist.

00:45:16: Ja, mit dem wir haben den den Encryption Key sag ich mal verloren.

00:45:20: Ja, dann sehe ich mir das an, dass es zwei Voltbraucher um eigentlich entsprechend skalieren zu können.

00:45:26: Ja, in meinem Kubernetes.

00:45:28: Dann betrachte ich aber auch.

00:45:31: das Problem mit den encryption keys, dann gucke ich mir kubernetes an und ich gucke mir an wie die secret star implementiert sind und ich wünsche mir einfach, das muss ja irgendwie besser gehen.

00:45:41: Und jetzt mal an euch vergestellt, wenn man in den greenfield ansatz hättet und wir könnten jetzt mal richtig philosophisch in die Sache reingehen, was würdet ihr euch wünschen, wie würdet ihr Sachen besser lösen oder was habt ihr für Anforderungen an so ein Tool?

00:45:51: Also

00:45:53: du hast das Problem auf jeden Fall schon von sehr gut erkannt, also dieser zweite vault wird ja Teil dieser problemkette.

00:45:59: Das Ding muss auch irgendwie gewartet werden, updateet wie auch immer.

00:46:02: Das heißt, du bist da nicht mit fein raus.

00:46:07: Ich glaube, die sauberste Lösung, das Problem zu lösen.

00:46:11: ist dann beim Auto anziel tatsächlich ja den Anziel Key in ein externes System wie Azure Key Vault oder so zu legen.

00:46:21: Auf der anderen Seite habe ich dann wieder einen externen Anbieter mit drin und eventuell bin ich auch so eingestellt, dass ich meine Daten gerne mit meinem Haus behalten möchte und vor allem kein Kryptomaterial aus meinem Haus austragen möchte.

00:46:31: Dann habe ich immer noch die Möglichkeit für das Auto Anzielen Hardware Security Modules zu benutzen an der Stelle.

00:46:39: Das sind im Prinzip kleine Stücke Hardware, wo die auch die Möglichkeit haben, dass ich da gewisses Schlüsselmaterial drin ablege und Volt kann sich dessen bedienen, um dann halt eben sich selber zu anziehen.

00:46:50: Und das ist meiner Meinung nach aktuell die sauberste Lösung.

00:46:53: Das habe ich auch mitbekommen.

00:46:54: Ich glaube, die Kette, die Moritz aufmachen wollte, war eigentlich, dass er sagt, okay, wir machen vorne rum so ein fettes Bohai.

00:46:59: Jetzt hast du quasi eigentlich noch die extra NSA-Lösung aufgemacht mit HSM-Modulen, die quasi in Harz gegossen nochmal den Key irgendwie haben.

00:47:08: wir die Sachen in Kubernetes und da stehen sie dann plain in Etsydie.

00:47:12: Und das, ich glaube, das war der Punkt, wo Mozart meinte, diese Stelle irgendwie davor so ein Bohai und dann ist dieser Punkt an der Stelle, kann man uns nicht besser machen.

00:47:20: Und ich würde sagen, da können wir eigentlich nochmal auf die verschiedenen Varianten eingehen, also den Bogen schließen, wo die anderen, wo die beiden vorhin hin wollten.

00:47:28: Okay, welche Varianten gibt es denn, um jetzt Secrets in einer Applikation in Kubernetes verfügbar zu machen?

00:47:34: Vielleicht auch, dass wir uns fokussieren auf diesen speziellen Teil unserer Kernkompetenz.

00:47:38: Anbindung an Walls.

00:47:39: Tut uns ein bisschen Leid an, aber das ist quasi unser Steckenpferd.

00:47:43: Und da gibt es ja auch eben dann mindestens zwei Lösungen schon mal, die mir einfallen, die dieses Problem des Schreibens und Etsy, die nicht haben.

00:47:50: Da könntest du Leon vielleicht nochmal kurz die Varianten aufzählen, die es an der Integration da gibt und was die so viel Vor- und Nachteile haben.

00:47:57: Ich würde ganz kurz für die, die wir jetzt abgehängt haben, tatsächlich durch eine Problematik, die halt wenige betrifft oder nur einige betrifft.

00:48:05: Wir hatten jetzt Zielsequiz, Decentral, jetzt sind wir schon rüber gehüppelt.

00:48:10: Moritz Willen das Thema jetzt zu konkretisieren.

00:48:13: Das bedeutet, wie können wir, also welche verschiedenen Möglichkeiten gibt es?

00:48:17: Wir haben jetzt den ESO und den Vault, glaube ich, erwähnt.

00:48:19: Also das bedeutet External Secrets Operator und das Vault mit Vault Operator.

00:48:25: Also das ist es.

00:48:26: Und da wäre es dann, ich glaube, es ist uninteressant auf die verschiedenen Technologien, die Sicht aus Haschikorps Sicht ist, glaube ich, gut, weil es das ... Ja, das wiegelt halt im Grunde alles ab, was möglich ist, was das Thema dann angeht.

00:48:39: Und genau da jetzt mal zu beschreiben, auf welche verschiedenen Arten wir Secrets in den Klassen reinkommen.

00:48:46: Also was halt gut und was halt teilweise dann halt noch besser ist.

00:48:51: Ja.

00:48:51: Also ich würde es ähnlich wie unseren Container-Days-Vortrag aufziehen.

00:48:54: Da sprechen wir über genau das gleiche Thema auch.

00:48:56: Vielleicht als kleine Werbung sich nochmal die Aufzeichen davon anzuschauen.

00:49:00: Aber wir können es natürlich hier auch gerne noch weiter erläutern.

00:49:02: Die werden wir auch verlegt haben in diesem Podcast.

00:49:03: Nur ganz kurz könnt ihr ja schon uns ansehen.

00:49:05: Sehr gut.

00:49:05: Nur nicht initial.

00:49:07: Ach so, doch, dann ja.

00:49:09: Kommen wir mal durcheinander.

00:49:11: Ach alles gut, das ist ja auch ein bisschen Zeitreise.

00:49:14: Egal.

00:49:14: Ne, kommen wir zum Thema.

00:49:16: Wir hatten die Möglichkeit oder wir hatten über den externe Sequence Operator beziehungsweise den Vault Sequence Operator gesprochen.

00:49:23: Das ist eine Lösung, die im Prinzip sich gegen ein externes Backend verbindet und aus diesem dann entsprechend Schlüsselmaterial, sag ich schon, Sequence, gut Schlüsselmaterial können auch Sequence sein, Sequence extrahiert und diese dann wiederum in nativen Kubernetes Sequence ablegt.

00:49:42: Vorteil an der Stelle ist ganz klar, ich kann mit meinen Applikationen, die ich in Kubernetes deploye und dafür sind auch viele Helm Charts und so weiter ausgelegt, kann ich ganz normal so arbeiten, wie ich das sonst auch tun würde, weil ich ja hinterher wieder normale Kubernetes-Squids rauskriege.

00:49:57: Das heißt, von der Interoperabilität ist das sehr schön.

00:50:02: Auf der anderen Seite hier nachteil wieder, ich habe es in einem nativen Kubernetes-Squid legen, was unter Umständen auch ein Sicherheitsfaktor sein kann.

00:50:11: Bisher kann man generalisieren, dass der Vault-Secrets-Operator die Anbindung nur an HashiCrop-Vault ist, während der ESO eine Anbindung ist über dieses Petter, das wir vorhin hatten.

00:50:22: Ich habe Integration für verschiedene Secrets-Management-Systeme, aber ich brech die beide gemeinsam, dass die, das Operator ist ein bisschen überladen als Begriff insgesamt, aber es ist immer die Idee, ich lese die Secrets von Quelle X und wende sie über die Schnittstelle Kubernetes-Secrets.

00:50:39: Da ist die Weiterkonsumierung.

00:50:41: Das ist das allgemeine Pattern, in das diese Klasse fällt.

00:50:44: Genau.

00:50:45: Und wenn man da vielleicht noch mal weiter unterscheiden möchte, oder du hattest ja eigentlich gerade schon gesagt, der Wall-Sequence-Operator ist eben wallspezifisch.

00:50:51: Der External-Sequence-Operator hat auch noch die Möglichkeit, diverse andere Backends anzubinden.

00:50:57: Also da gibt es etliche.

00:50:59: Ich muss sagen, an der Stelle vielleicht ein kleiner Werbestreifen.

00:51:02: Der Ex-Fan-Secrets-Operator sucht gerade neue Maintainer.

00:51:05: Falls jemand von euch da draußen ein guter Goldentwickler ist und ein bisschen Zeit hat, connectet euch mal mit den Leuten, weil das ist ein wichtiges Open Source-Projekt.

00:51:13: Auf

00:51:14: jeden Fall, weil bei der Bedientheit, wie gesagt, Vault lässt sich damit auch anbinden, aber mitunter dann halt die hiesigen Hyperscaler, also dass sie da haben, also AWS, Secret Manager, Azure Key Vault, Google Secret Manager, OnePassword.

00:51:28: Was es nicht alles gibt, da gibt es halt eine ganze Menge.

00:51:32: Und die lassen sich dann halt alle über den external Secret Operator anbinden.

00:51:37: Genau, genau.

00:51:38: Ich glaube, Seal Secrets hatten wir ja gerade schon ein bisschen erläutert, für dich glaube ich nicht.

00:51:43: groß weiter drauf eingehen.

00:51:44: Da sind wir

00:51:45: durch.

00:51:45: Genau, nicht dezentral.

00:51:47: Spannender ist vielleicht der CSI Driver, der Secret Store CSI Driver.

00:51:52: Das ist eine Möglichkeit, die dieses Konzept des Kubernetes Secrets umgeht.

00:51:57: Da wird im Prinzip, oder da wird das gleiche Prinzip gefahren wie bei einem externe Secrets Operator.

00:52:02: Ich habe irgendeinen externe Backend, wo die Secrets... drin liegen.

00:52:08: Der Unterschied zum Externis SeqWits Operator ist, dass das nicht hinterher in einem Kubernetes SeqWit landet, sondern in einem Persistent Volume, was ich dann hinterher eben in mein Workload reinmounten kann, um das SeqWit dann auf diese Art und Weise zu konsumieren.

00:52:22: Vorteil, die Daten landen nicht im ATCD.

00:52:25: Nachzahl, meine Applikation muss in der Lage sein, die SeqWits als Datei reinzukriegen.

00:52:30: also ich kann dann nicht mehr mit environment variabelt oder sonstigen arbeiten sondern es ist dann auf jeden fall datai basiert an der stelle was auch nicht immer geht.

00:52:39: also oder machst du nicht das kann ich mir jetzt vorstellen.

00:52:42: also das

00:52:43: geht natürlich

00:52:43: anders.

00:52:44: im moment dann halt so wie rein sorgen weil du in deinem verteil ablegst

00:52:49: das geht natürlich ja aber es ist halt wieder ein extra schritt den man gehen muss.

00:52:54: an der stelle nicht so

00:52:56: ist dann halt speziell.

00:52:58: Da frag ich mich natürlich immer, wo führt das hin?

00:53:00: Weil wir sind ja noch nicht fertig.

00:53:01: Auf dem Sichtweg gibt es viele verschiedene Möglichkeiten, aber wo führt das hin?

00:53:05: Und dann denkt man sich immer so, irgendwie muss man das Kubernetes-Sequence-Thema übergehen, auch wenn Moritz seine ganze Konfiguration da gerne reinpackt.

00:53:12: Ich auch im Übrigen, das ist nicht nur Moritz, das ist

00:53:15: genau

00:53:16: so.

00:53:17: Aber da ... dass das irgendwo muss es ja, weil das Ziel ist es ja wirklich die Secrets dann halt dazu haben, wo sie sind und zwar bei der Laufzeit irgendwo, also ganz nah am Prozess.

00:53:30: Zwei für zwei sogar gar nicht sichtbar da.

00:53:32: Also da, ja,

00:53:33: genau.

00:53:35: Ich würde insgesamt sagen so ein bisschen Independence.

00:53:37: Also du hast ja ... Ich sag mal, bei der Optimierung der Sicherheit immer das Ziel, deine Angriffsfläche möglichst minimal zu halten.

00:53:43: Und wenn du deine Angriffsfläche wirklich so klein halten möchtest wie möglich, dann machst du die native Anbindung über die entsprechenden Client Libraries zu dem Seekitsmanager hin, weil dann hast du keine Zwischenschritte.

00:53:54: Dann sprich deine Anwendung direkt mit dem entsprechenden Backend und dann hast du möglichst die Anzahl der Schritte einfach minimiert, bis das Seekwirt dann an seinem Zielpunkt quasi angekommen ist.

00:54:05: Auf der anderen Seite muss man natürlich aber auch an Praktikabilität denken.

00:54:09: Das heißt, es gibt ja für etliche Applikationen da draußen irgendwelche coolen Helmshards und die arbeiten alle mit nativen Kubernetes-Squids.

00:54:16: Das heißt, das jetzt komplett außen vorzulassen, ist halt eben auch schwierig.

00:54:20: Das heißt, man sollte sich... Entsprechend Gedanken machen, in was für einem Cluster bin ich unterwegs.

00:54:26: In welcher Umgebung läuft dieses Cluster?

00:54:28: Wer hat Zugriff auf das Cluster?

00:54:30: Ist das ein gescheites Cluster?

00:54:31: Ist das ein privates Cluster?

00:54:33: Steht das in der DMZ?

00:54:34: Steht das in einem internen Netzwerk?

00:54:36: Und an dieser Punkte muss man entsprechend eben abwägen, welche Lösung ich wähle.

00:54:41: Wenn ich wirklich maximale... Anforderung an Sicherheit habe, nutze ich entsprechend kleine Libraries.

00:54:45: Wenn ich sage, dass Cluster es entsprechend gehärtet und hat nur ein ausgewählter Kreis am Personen drauf Zugriff, dann kann ich auch ruhigen Gewissens weiter mit Kubernetes Sequels arbeiten.

00:54:57: Morrist du bist ja auch sonst im Umfeld Cluster, Hardening oder generell auch so ein bisschen Sicherheitsanalyse von von Kubernetes Umgebungen unterwegs.

00:55:06: Ja, wie siehst du das?

00:55:07: Wie stehst du dazu?

00:55:08: Also Stichwort Angriffsfläche minimieren.

00:55:11: Würdest du weiterhin dazu sticken, Kubernetes-Secrets zu benutzen oder vielleicht auch Porschealisiert sagen eher irgendwie nur noch Klein-Libraries?

00:55:21: Weil ich hatte gerade so ein bisschen gesagt, it depends an der Stelle.

00:55:23: Was sind so deine Meinungen dazu?

00:55:25: Ja, ich würde auch sagen, genau.

00:55:26: Ich schließe mich da an.

00:55:26: Also, it depends.

00:55:28: Natürlich kann man sagen, okay, lass uns das einfach überhaupt nicht mehr über Secrets abbilden.

00:55:31: Aber ich meine, es gibt, wenn du zum Beispiel... Ja, Operator oder sowas können sie mir erst dann gibt, zwangsläufig irgendwelche Möglichkeiten oder irgendwelche Sachen, die auf Helmshire auf Secrets zugreifen, sag ich mal so, die irgendwo ausgerollt werden.

00:55:43: Ich glaube ganz krig ist es nicht weg.

00:55:45: Und ich meine gut, wenn das halt irgendeinen Token ist, der für eine interne Kommunikation benutzt wird oder sowas und du kannst abschätzen, in welchem Rahmen das stattfindet, dann würde ich sagen, das passt alles.

00:55:58: Aber gerade wenn wir halt in Richtung.

00:56:02: Sie können den höheren Sicherheitsanspruch haben zu den Daten, so weiter zu externen Datenbanken oder sowas, wo dann persönliche Daten drin liegen oder sowas.

00:56:09: oder wir reden über über Tokens die eben für eine Api Tokens oder sowas, die auch relativ wichtig sind.

00:56:16: Wir sehen ja immer wieder, sag ich mal, dass es da irgendwelche Leaks gibt.

00:56:20: Dann würde ich sagen, gerade das sind Sachen, die man vielleicht dann nicht einfach so in die Kubernetes-Secrets reinschmeißen würde, sondern da würde ich mir dann halt Gedanken mache über eine externe Secrets-Lösung generell.

00:56:29: Würde ich aber auch soweit gehen, dass ich sage, okay, wenn wir irgendwo ein Kubernetes installieren, dann bin ich eigentlich immer versucht, da auch eine Secrets-Lösung zu verfügen zu stellen, die eben nicht nativ diese Secrets-RP oder die ARP von Kubernetes nutzt, wo diese Secrets eben reingeschrieben werden, sondern entsprechend dann über den Vaultwerten in die Strecke beschrieben und den Secret Injector zumindest arbeitet, sodass das gar nicht überhaupt irgendwo in die ITCD reinkommt.

00:56:52: Das ist eben so meine eigentlich gute Lösung, die versuche ich umzusetzen.

00:56:57: Ich hab's, glaube ich, es kommt durch im Podcast, weil ich nicht so ganz nachverziehen kann, warum eben sich diese Secrets, warum die so existieren, wie sie existieren.

00:57:03: Ich glaube, da kann man auf jeden Fall sagen, Leon, schließe ich mich dir an, it depends.

00:57:08: Ich würde es immer bewerten, auf jeden Fall.

00:57:10: Ja, ich glaube, man muss auch die, bisschen die Sicherheit der Umgebung... quasi in Betracht ziehen, also einen Vergleich kann man ja ziehen zur klassischen VM-Welt, wo man sagt, okay, die Laufzeit-Secrets von der Applikation liegen ja auch bei vielen Applikationen auf Disk und verlassen sich dann auf das quasi Permissionssystem von Linux, quasi sagen, okay, der Folder ist quasi irgendwie und bei Root oder Vault oder was heißt ich und vielleicht noch zusätzlich mit irgendwelchen Permissions, oder mit irgendwelchen ACLs gesichert und sagen, okay, wenn es halt da liegt, da kann es halt liegen im Zweifelsfall.

00:57:43: Und je nachdem, wie das System auf dem System jeder freien Zugriff hat auf alles oder fünf Leute Routrechte haben, dann ist das wieder für die Katze.

00:57:50: Und so ist das im Prinzip beim Kubernetes auch.

00:57:53: Wenn du quasi eine vernünftige A-Bag am Start hast, du hast deinen LCD encrypted und du hast quasi das halbwegs unter Kontrolle, wer da was lesen kann, dann ist das eine andere Nummer, als wenn du quasi fünf Class-Daten hast, die sowieso alles lesen können.

00:58:05: Gut,

00:58:06: das ist sogar selbst, wenn du den LCD nicht inkriptet hast, ist es halt im jeden Fall so, wir reden ja immer über eine Security-Breach, der ja dann schon erreicht ist.

00:58:14: Also, irgendwer ist schon irgendwo, wo er eigentlich nicht hingehört.

00:58:18: Das muss man so sagen, und jetzt kann man natürlich diese Thematik immer weiter zuschnüren.

00:58:22: Aber ist das nicht alles Wunschdenken?

00:58:25: Jetzt mal, okay, wir reden jetzt nicht im hochregulierten Umfeld, aber wie oft kommt ihr auf irgendwelche Klasse, oder wie oft seht ihr irgendwelche Infrastrukturen?

00:58:31: Wir denken so, owaiowaiowaio.

00:58:34: Das ist tatsächlich, das ist dann eher der Punkt.

00:58:36: Also das, was Felix gesagt hat, dann halt tatsächlich so ein Cluster, wo wir ein Namespace übergreifen.

00:58:42: Nicht nur Cluster, alles mögliche.

00:58:44: Also du kannst halt alles tun.

00:58:46: Und dann sind die Sequence schon blöd, wenn die da halt in Sequence stehen, weil jeder halt alles Sequence hat.

00:58:51: Das ist dann eher halt eine Frage der Umsetzung.

00:58:54: Und das ist in diesen hochautomatisierten Umfeld halt häufig das Problem, dass die meisten Menschen halt nach Besten und Wissen und Gewissen halt agieren, aber dann halt teilweise mit der hohen Autor... die automatisieren gar nicht so richtig hinterherkommen und die bewusst ist, dass natürlich hochautomatisiert alles zur Verfügung gestellt wird.

00:59:08: Genau, und im Idealfall ist es so, ich glaube, diese ganzen Konzepte, über die wir gerade sprechen, erfordern, bevor man sie implementiert, eine sinnvolle Konzeptionierung und eine Planung, wie man vorgeht.

00:59:19: Aber meistens ist es so, dass man einfach angefangen hat und dann ist man von da aus weitergekommen und dahinter stehen.

00:59:24: Wie bitte?

00:59:25: Sagil oder

00:59:26: genau das ist agil?

00:59:26: aber genau bei diesen sachen glaube ich denke ich mir so okay damit man halt auch eine möglichst guten überblick darüber hat spart man sich am ende auch wieder.

00:59:34: Gewissen reverse engineering aufhand wenn man einfach weiß okay so und so war es geplant und so habe ich es umgesetzt.

00:59:39: und dann geht man eben von diesem konzept weiter.

00:59:41: aber in der regel sehe ich das treff ich das halt gar nicht an.

00:59:44: deswegen

00:59:45: man muss aber glaube ich.

00:59:46: auch da quasi wie bei eigentlich jedem vielleicht auch technisch insgesamt vielleicht auch vielen problemen sagen ok die leute halt dann mitzunehmen und zu sagen ok pass auf wir haben jetzt diesen stand.

00:59:57: vielleicht auch ich finde es immer praktisch von tatsächlichen vektoren auszugehen und dann das bild zu malen und so pass auf versieden das ist der angest rektor so kann das jemand machen so und so einfach ist das.

01:00:07: Und wenn es quasi eine Sache ist, die hinreichend einfach ist, dann sind die Leute auch bereit, quasi dieses Tor dann zu schließen.

01:00:13: Und ich glaube, so muss man sich dann Schritt für Schritt vorarbeiten, äh, zu sagen quasi, die Hände über dem Kopf zusammenzuschlagen und sagen, was ist das denn für eine Grütze?

01:00:22: Das muss alles neu.

01:00:26: Das ist mein Arbeitsmodus.

01:00:28: Lass das mal.

01:00:30: Wunderbar.

01:00:31: Da bist du auch so beliebt.

01:00:32: Ja, auf jeden Fall.

01:00:33: Ich war immer gerne beliebt, ja.

01:00:34: Nee, natürlich nicht.

01:00:35: Klar, klar, man muss... Ja, bitte Leon, du.

01:00:38: Das ist an der Stelle so ein Thread-Moduling, was ich da anders sehe.

01:00:41: Oder meins Felix, oder?

01:00:43: Ja.

01:00:43: Ja.

01:00:44: Ich will aber noch mal eins zurück.

01:00:45: Du hattest vorhin die Secrets Injection von Volt, von HashiCop Volt erwähnt, weil das haben wir auf das Thema sind wir noch nicht eingegangen.

01:00:53: Leon, Felix, könnt ihr darüber noch mal was sagen?

01:00:55: Das ist ja noch mal ein bisschen anders.

01:00:58: Schwebt mir gerade auch noch im Kopf, als Moritz das angesprochen hatte.

01:01:01: Genau, es ist im Prinzip eine andere Lösung wieder, Sequiz in Container reinzubringen in Kubernetes.

01:01:07: Und zwar ist es eine Kombination aus einem Init-Container und einem Sidecar-Container.

01:01:11: Der Init-Container hat im Prinzip einfach einen Klein, der sich gegen Volt connectet und dann entsprechend definierte Sequiz daraus zieht.

01:01:18: entweder im Environment oder der Datei ablegt oder einer Datei ablegt.

01:01:22: Und dann läuft auch noch ein Sidecar-Parallel zum eigentlichen Container, der nie nach Einstellung regelmäßig prüft, ob die Daten noch aktuell sind oder die dann entsprechend aktualisiert.

01:01:31: Eine weitere Möglichkeit, die mir gerade auch noch einfällt, sind im mutating Webhooks.

01:01:36: Also da habe ich dann zum Beispiel auch einen... Natives Kubernetes-Sequit, in dem der Annotation drin ist.

01:01:41: Dann gibt es einen Rapport, der entsprechend diese Annotations abfragt.

01:01:45: Und wenn er sieht, okay, da steht er jetzt drin.

01:01:47: Zieh mir bitte aus dem Manager, bitte.

01:01:49: Unter dem Fahrt das Sequel, dann wird das entsprechend auch ein natives Kubernetes Sequel reingeschrieben.

01:01:53: Da gibt es, da gibt es auch noch, also der Blumstrauß ist sehr groß an der Stelle.

01:01:57: Genau, aber auch da nochmal ein Request auf die Frage, die du eben gestellt hast, wie machen wir das eigentlich mit Kubernetes Sequel?

01:02:01: Du kommst gar nicht weg vor diesem Konzept, ne?

01:02:03: Weil du entweder du hast diese, dieses Sequel, was du eben für die mutating Webhooks brauchst, oder wenn du selbst dann den Injector benutzt, ja, dann hast du immer noch irgendwo den Token, den du irgendwo reinfrieden musst, ja?

01:02:12: Und irgendwo musst du diese Konzepte nutzen, weil natürlich kannst du das immer weiter abstrahieren, aber ... Da kommt man wieder zu der Frage bei Security.

01:02:22: Wann fängt es an, den regulären Betrieb so weit zu hemmen, dass du gar nicht mehr arbeiten kannst?

01:02:27: Die Schwierigkeit

01:02:28: ist auch, ich hab dann immer das Gefühl, dass man eine Kaskade baut.

01:02:31: An Sicherheitsmechanismen, die sich gegenseitig vom Anfang hinweg zu stehen.

01:02:35: Das wird halt immer länger.

01:02:37: Aber am Ende hast du halt immer ein Security.

01:02:40: Wenn keiner mehr durchblickt, ist es doch einfach sicher oder nicht?

01:02:43: Das kriegt man auch so hin.

01:02:45: Security of Security.

01:02:47: Genau, ja.

01:02:48: Ich glaube, die zentrale Frage, die wir oder andere Leute sich stellen sollten, ist, wie kriegen wir das in Kubernetes-Sequiz sicherer zu machen?

01:02:56: Weil das ist ja eigentlich schon so ein bisschen der Aufhänger an der Stelle.

01:03:02: Also gibt es vielleicht Sinn, die Dinger bei default zu encrypten.

01:03:08: Also Schlüsselmaterial wird ja auch generell mit dem Kubernetes-Cluster irgendwie erzeugt.

01:03:12: Da werden ja auch Zertifikate erzeugt im Hintergrund und so weiter.

01:03:17: Verschlüsselt man Sequence in Kubernetes vielleicht einfach per Default oder hatten ein strengeres Default RBAC oder sowas.

01:03:27: Hättet ihr eine Idee?

01:03:28: Also ja, das mit dem Inkripten ist natürlich initial mal erstmal einfach ran, weil guter Kubernetes-Cluster kann natürlich Schlüsse halten in sich, wo vielleicht keiner rankommt, der dann irgendwo rumliegt.

01:03:40: Aber es macht natürlich das Backup-Thema dann halt wieder ein bisschen schwieriger, weil ich die Sequence nicht einfach mit rausgesaugt bekomme, die dann wieder rum funktionieren.

01:03:48: Wobei das, glaube ich, auch nur ein prozessuales Thema ist, wie meine Applikation.

01:03:52: organisiert ist und wie ich sequits etabliere.

01:03:55: dort vermutlich weiß ich nicht wenn es deutsch dahinter ist wird schwierig.

01:03:59: nein weiß ich nicht.

01:04:00: ich glaube wir sind mit den metoden in also in dem letzten thema quasi metoden wie man da sequits reinbringen kann über die verschiedenen muster.

01:04:07: jetzt nachdem wir den injector noch hatten also sidecar pattern sind wir damit eigentlich durch oder

01:04:11: ja

01:04:12: und dann wäre quasi jetzt morges hatte gerade so ein nebensatz.

01:04:16: da muss man näher noch den trocken dazu packen und hat dann wieder ein secret damit wer man eigentlich bei einer weiteren klasse dieses ding hat.

01:04:23: ok wie komme ich an die authentifiz?

01:04:26: also wie entauthentifiziere ich mich beim secret management system?

01:04:30: So, und das ist unser einst unser lieblingsprobleme.

01:04:35: Und die Lösung ist meistens, oder das was wo die Industrie hingeht, ist halt Plattform-Authentizierung.

01:04:43: Das heißt immer zu gucken, in welchem Kontext läuft denn die aktuelle Workload und kann ich aus der irgendwie quasi eine vertrauenswürdige Stellung ableiten.

01:04:53: Im Form von irgendwelchen, meistens sind es halt Trocken, die signiert sind von einer zentralen CA oder so was.

01:05:00: Kann ich daraus irgendwie ableiten, was diese Entität denn jetzt darf, dieser Pod, in dem ich gerade bin und sich damit beim Secret Management System zu authentizieren, damit ich eben nicht... Sequence per Hand pflegen muss, denn das ist wirklich eine Quelle von, wenn ich dann wieder Zugänge zum Sequence Management System per Hand verteilen muss, dann habe ich noch mal eine ganz neue Klasse von Problemen, wie die Alt Verloren gehen können, wie die, also wie man die dann klauen kann, worauf die Zugriff haben, also das hört da nicht auf.

01:05:30: Ja, lieben wir.

01:05:33: Ja, aber... Das ist auf jeden Fall auch wiederum ein spannendes Konstrukt.

01:05:37: Ich wollte ganz, ganz kurz nochmal auf die Frage zuvor zurückgreifen, weil ich glaube, das steht hier irgendwie so ein bisschen im Raum.

01:05:44: Warum ist Kubernetes eigentlich so?

01:05:47: Man sollte es besser machen, aber warum macht man es nicht besser?

01:05:49: Ich glaube, diesen Punkt wird man nie genau klären, weil ich glaube, Kubernetes ist ja bewusst.

01:05:54: nicht als sicher konzeptioniert.

01:05:56: Das ist eine Plattform und diese Security ist eben extra nach außen verlagert.

01:06:01: Du hast da, glaube ich, auch noch einen Paypoint, den du da sagen möchtest.

01:06:05: Also ich glaube, es wird bewusst delegiert, um eben die Plattform möglichst simpel zu halten und einfach damit starten zu können.

01:06:13: Das ist tatsächlich also hier reden wir ja nur über Automatisierung.

01:06:16: sicherlich

01:06:17: ist sicherlich ein Thema aber da gibt's halt die Platzhösche oder weniger Platzhösche, ob das dann ein Open Source Tool sind oder halt mit Vault hat man dann halt wirklich den Platzhösche, der das gut bedient das Thema und vielleicht sogar über die Jahre halt das ganze Paradigma so ein bisschen ändert, also wie halt mit Sequizverfahren werden.

01:06:37: Aber ich glaube, von Kubernetes jetzt zu erwarten, also es wirft neue Probleme auf.

01:06:42: Und Fakt ist, Kubernetes muss halt funktionieren und einfach sein.

01:06:45: Das ist halt wichtig.

01:06:46: Und da muss man sich so ein bisschen drauf ausruhen, dass man dann halt diese Secret Resource, die man dann halt so nutzt, wie man es möchte, dann halt im Raum hat.

01:06:55: Aber ansonsten dann halt versucht, den Lösungen erst mal hinterher zu... gehen, die es so gibt.

01:07:00: Und da, das hört sich ja so an.

01:07:02: Also, das bedeutet halt, gut, wir werden immer zu diesem Sequence-Io-Problem kommen.

01:07:07: Irgendwo löst sich die Sache ja nach hinten aus.

01:07:10: Aber ja, also, es gibt ja viele Möglichkeiten, die vielleicht nicht auf Sequence basieren, weil das ist ja auch so ein bisschen vom Wort her vielleicht auch eine Öreführung, dass die Sequence nicht so gesagt sind, wie sie sind.

01:07:21: Ich weiß es nicht, ob es eine Definition in Kubernetes halt gibt, die das besagt, sondern dass man halt sagt, okay, gut, ich versuch halt meine Sequence.

01:07:29: Initial so nah wie möglich an den Workload zu bringen.

01:07:31: Versuch infrastrukturell so gut wie möglich für Sicherheit zu sorgen, damit keiner an die Secrets rankommt.

01:07:37: Und dann bin ich schon sicher.

01:07:38: Und ja, für René hat man die verrückte hundert Prozent.

01:07:42: Ich muss es halt handelbar haben.

01:07:43: Das bedeutet, die Secrets müssen allein rollierbar sein.

01:07:46: Sie müssen allein zuteilbar sein, damit ich halt nicht anfange, hier Secrets auf USB Sticks an Server zu verteilen und halt neu zu verteilen.

01:07:54: Gute

01:07:54: Idee.

01:07:54: Bring mich nicht auf Ideen.

01:07:56: Ja.

01:07:56: Damit die rumflattern.

01:07:57: Es muss ein durchgängiger Prozess sein.

01:08:00: Die Gefahr, das hattest du auch schon gesagt, Leon, Felix, vermute ich auch schon, dass du halt nicht selber mit Sequence handieren darfst.

01:08:09: Also, wenn ich mir meinen Desktop angucke, weiß ich, was das bedeuten würde, weil dann würden halt hier und da immer mal in irgendeinem Ordner Dokumente oder Sequence zu sichern oder was weiß ich, wird Sequence rumflattern und das wäre natürlich dumm.

01:08:22: Und solche Situationen darf man natürlich nicht darauf beschwören und da muss man die Automatisierung da haben und da braucht man Tools, die dann halt darauf auf, also die das bedienen wie HashiCop World.

01:08:31: Das Next Level Konstrukt ist ja dann immer, also es gibt ja verschiedene Reifegrade, die du erreichen kannst und Also quasi ziemlich gutes Level ist.

01:08:40: schon ist ja auf jeden Fall, wenn du so tief in deiner Automatisierung von Secrets drinsteckst, dass du quasi menschlichen Zugriff raus hast.

01:08:48: Also quasi automatisiert generiertes Secrets, auf die die Admin's keinen Zugriff haben und im besten Fall auch noch mit Evil Admin in mind, dass du quasi sagen kannst, okay, selbst wenn einer von meinen Leuten Rogue geht und quasi irgendwie keinen Bock mehr auf uns hat, selbst dann sind wir noch sicher, aber das ist schon Premier League, da musst du schon ein bisschen aufpassen.

01:09:06: auf jeden Fall,

01:09:07: ja.

01:09:08: Ja,

01:09:09: aber es ist natürlich geil.

01:09:11: Aber ich fand gerade, als ihr beiden das gesagt hattet, folgt mal Moritz, ich glaube, das wäre geil, wenn Kubernetes eine Schnittstelle hätte, über die ich einfach ein externes KMS oder sowas wie eine World Transit Engine anbinden kann, dass ich die Möglichkeit habe, die Sequence zu verschlüsseln, aber dass dann quasi von extern kommt.

01:09:33: Dann wäre das Problem wieder gelösst.

01:09:35: Dann ist das Thema weiterhin ausgelagert.

01:09:37: Und ja, die Leute müssen sich bei der Entwicklung von Kubernetes nicht darum kümmern, dass da irgendwie Inquisition passiert, sondern ich kann das ja an der externen Schnittstelle auslagern.

01:09:45: Das wäre doch auch eine Möglichkeit.

01:09:47: Ja, ja.

01:09:48: Das ist die Sequenz.

01:09:48: zukünftig Referenzen auf Sequenz im KMS.

01:09:52: Das finde ich gut.

01:09:53: Das ist eine schöne Idee.

01:09:54: Eine

01:09:54: nativen Bindung an Wohlz.

01:09:57: Das wäre natürlich eine Idee, weil Kubernetes hat ja aktuell in Zeiten von AI und Co.

01:10:03: auch Bedarfe da, Schnittstellen zu liefern.

01:10:05: Und es tut es ja auch schon, da halt diese Sachen auszubauen.

01:10:08: Ich finde, das Thema Security könnte man dann halt vielleicht doch noch mal aufholen.

01:10:12: Bei Schnittstellen, das ist ein Thema.

01:10:13: Also, wie gesagt, Kubernetes ist ein Automation-Beast.

01:10:16: Aber Schnittstellen hast du halt, um dann halt deine Infrastruktur und Secret Management ist halt ein Teil von der Infrastruktur.

01:10:23: Das ist meine Meinung.

01:10:25: Aber das gehört dazu, um die dann anbinden zu können.

01:10:28: Dann wird es Zeit, ein neues Special Invest Group zu gründen, oder?

01:10:31: Dann

01:10:31: machen wir jetzt sie hier.

01:10:32: Ja.

01:10:32: Ja,

01:10:33: oder wir gehen auf den SNCubeCon einfach mal zu der Security Special Invest Group hin und quatschen mit den Leuten.

01:10:39: Das können wir mal machen.

01:10:40: Ja, genau.

01:10:41: Wir können einfach bei denen mal was platzieren.

01:10:43: Ich denke, die haben sich da auch selber schon darüber Gedanken gemacht, aber wir können es sicherlich versuchen.

01:10:47: Augen räumen.

01:10:48: Du weißt doch so.

01:10:51: Die schon wieder.

01:10:52: Die schon wieder.

01:10:53: Aber ich würde sagen, Das war ein sehr, sehr interessanter Deep Dive, auch in die Paint Points rein, die wir so in dem System, sag ich mal, drinnen sehen, beziehungsweise mit denen wir uns konfrontiert sind, wenn wir über Secrets sprechen.

01:11:06: Ich glaube allerdings, dass das eventuell jetzt alles ein bisschen konfuß war, weil wir so ein bisschen von Hölzern auf Stöckchen gekommen sind.

01:11:12: Daher meine Empfehlung an die Hörerinnen da draußen.

01:11:15: Ihr wollt das Ganze, genau, das war der Witz, folgt mal.

01:11:21: Ihr wollt unbedingt das Ganze noch mal kondensiert erleben.

01:11:24: Felix reibt sich schon die Augen.

01:11:27: Und von unseren Gästen nochmal, nein.

01:11:32: in einem knackigen Format in dreißig Minuten präsentiert haben.

01:11:36: Dann guckt am besten bei uns in die Schornotsreihen.

01:11:37: Dort werden wir in Zukunft dann den Vortrag verlinken, der dann schon stattgefunden hat.

01:11:42: Und der ist relativ kurzweilig und ich bin überzeugt, dass danach auch noch mal ein bisschen mehr Klarheit herrscht.

01:11:47: Oder ihr eventuell Maßnahmen ableiten könntet, wie ihr das vielleicht bei euch besser umsetzen könnt.

01:11:52: Wenn ihr selber Probleme habt mit Secrets oder da auch schon mal spannende Geschichten drüber erzählen könnt, wie beispielsweise das eure AWS Tokens in irgendwelchen Storch.

01:12:01: Blobs rumgelegen haben und die öffentlich waren, dann schreibt uns doch gerne.

01:12:05: Wir sind euer Kummerkasten für alles, was Secrets und Security angeht, an podcast.sfa.de.

01:12:11: Falls man dann zufällig überall lesen, wir sehen online, wo alle eure Fahrzeuge verteilt sind.

01:12:16: Genau, genau.

01:12:18: Kann durchaus sein.

01:12:20: Felix, ich glaube, dann warst du ja auch betroffen, oder?

01:12:23: Du wirst da auch drin gewesen, oder?

01:12:25: Ja, wahrscheinlich schon.

01:12:26: Ach so,

01:12:27: oder?

01:12:28: Oh ja.

01:12:28: Ja, stimmt, eigentlich.

01:12:29: Wollte

01:12:32: ich immer schon mal wissen, was Felix, Montags ...

01:12:34: Nein, ich hab dran gedacht, E-Autos.

01:12:37: Ach, die waren nicht da betroffen?

01:12:40: Nur die E-Autos.

01:12:40: Ach, du hast keine E-Aut, okay.

01:12:42: Aber nichtsdestotrotz, schreibt uns einfach und vielleicht können wir da ja noch mal eine Podcastfolge mit euch drüber machen, wo wir noch mal das Ganze diskutieren.

01:12:52: Ansonsten

01:12:52: ... Wir haben auch schon Cliffhanger mit dem Sequel Zero, was Felix vorhin sagte.

01:12:58: Genau.

01:12:59: Felix, vielleicht möchtest du das noch mal Cliffhängen?

01:13:02: Das ist ja in die nächste Folge, Cliffhanger.

01:13:04: Ja, oder beziehungsweise für euren Vortrag.

01:13:06: Wir

01:13:06: hören uns wieder.

01:13:09: Nächstes und trotz, ich danke auf jeden Fall unseren Gästen Felix und Leon für den interessanten Deep Dive.

01:13:14: Und ja, ich würde jetzt sagen, geht in den Vortrag rein.

01:13:18: Aber leider, wie gesagt, kommt es jetzt später entsprechend.

01:13:20: Vielen Dank an euch und bis demnächst.

01:13:22: Folgt mal, hast du noch was?

01:13:23: ... zu ergänzen.

01:13:26: Nee, das heißt, ich hab das gerade überlegt.

01:13:29: Vielleicht sich auch eure Secrets oder sowas, aber nein, nein, nein.

01:13:33: Ich wünsche euch einen schönen Tag.

01:13:34: Vielen Dank, ihr Lieben.

01:13:35: War ein schöner Morgen mit euch.

01:13:37: Danke schön.

01:13:37: Bis

01:13:37: dann.

01:13:38: Ciao.

01:13:39: Bis dann.

01:13:39: Macht's gut.

01:13:40: Tschüss.