32-8 · Bab 32 · 5 menit baca

Mengapa Tim Anda Membutuhkan Kebijakan Secret (Bukan Sekadar Vault)

Pelajari cara membuat kebijakan secret yang efektif untuk tim engineering, mencakup aturan akses, pemisahan environment, rotasi otomatis, dan pemulihan bencana.

Mengapa Tim Anda Membutuhkan Kebijakan Secret (Bukan Sekadar Vault)

Bayangkan Anda masuk ke ruang tim dan bertanya kepada lima developer di mana mereka menyimpan password database. Satu orang menunjuk ke file .env di root proyek. Yang lain punya catatan pribadi di password manager. Developer ketiga menempelkan token API sebagai komentar di kode, tepat di atas fungsi yang menggunakannya. Developer keempat bersumpah sudah memasukkannya ke vault, tapi tidak ada yang bisa menemukannya. Yang kelima hanya mengangkat bahu.

Ini bukan kegagalan keamanan. Ini adalah kegagalan koordinasi. Setiap developer punya alasan untuk pilihan mereka. File .env cepat. Catatan pribadi praktis. Komentar kode terlihat jelas. Entri vault secara teknis benar tapi tidak terdokumentasi. Angkat bahu itu jujur.

Masalahnya bukan karena secret itu ada. Masalahnya adalah tidak ada aturan bersama tentang bagaimana secret dikelola di seluruh tim dan di seluruh environment. Tanpa kebijakan, setiap developer mengoptimalkan alur kerja mereka sendiri, dan hasilnya adalah inkonsistensi. Inkonsistensi berarti Anda tidak bisa menjamin bahwa secret produksi ditangani dengan cara yang sama seperti secret development. Anda tidak bisa menjamin bahwa secret yang dirotasi mencapai setiap environment. Anda tidak bisa menjamin bahwa mantan anggota tim tidak lagi memiliki akses.

Kebijakan secret bukanlah dokumen formal yang disimpan setelah dibaca sekali. Ini adalah seperangkat aturan yang diterjemahkan ke dalam konfigurasi vault dan perilaku pipeline. Tujuannya sederhana: tidak peduli environment mana yang Anda lihat, secret diakses dan dikelola dengan cara yang sama.

Siapa yang Dapat Mengakses Apa

Aturan pertama yang perlu ditetapkan adalah tentang akses. Siapa yang bisa membaca secret di development? Siapa yang bisa membaca secret di produksi? Ini bukan pertanyaan yang sama.

Di development, sebagian besar anggota tim perlu mengakses secret agar aplikasi bisa berjalan di mesin lokal mereka. Itu tidak masalah. Risikonya rendah, dan memblokir akses hanya akan memperlambat semua orang. Tapi di produksi, akses harus dibatasi. Tidak semua developer perlu tahu password database produksi atau token API payment gateway. Prinsipnya adalah least privilege: setiap orang atau sistem hanya mendapatkan secret yang diperlukan untuk pekerjaan mereka.

Cara menegakkannya adalah melalui kebijakan vault. Kebijakan mendefinisikan path mana yang bisa dibaca oleh pengguna atau sistem. Misalnya, secret/development/* bisa dibaca oleh semua anggota tim, sementara secret/production/* hanya bisa dibaca oleh pipeline deployment dan beberapa senior engineer yang ditunjuk. Ini bukan aturan tertulis yang diharapkan dipatuhi secara manual. Ini adalah konfigurasi yang ditegakkan oleh vault. Jika seorang developer mencoba membaca secret produksi dari laptop mereka, vault akan menolak. Audit log mencatat percobaan tersebut.

Pisahkan Environment

Aturan kedua adalah tentang batasan environment. Secret produksi tidak boleh pernah digunakan di development atau staging. Secret development tidak boleh bocor ke produksi.

Kedengarannya jelas, tapi ini lebih sering terjadi dari yang Anda kira. Sebuah tim sedang terburu-buru. Mereka perlu menguji fitur yang berbicara dengan layanan eksternal. Alih-alih membuat kredensial test terpisah, mereka menyalin token produksi ke staging. Pengujian berhasil. Tidak ada yang ingat untuk menghapusnya. Kemudian, seorang developer tidak sengaja mencatat environment variables staging, dan token produksi berakhir di file log yang terlihat oleh seluruh tim. Sekarang produksi terekspos karena jalan pintas di staging.

Penegakannya bersifat struktural. Pisahkan path vault per environment. Pipeline development hanya memiliki akses ke path development. Pipeline staging hanya memiliki akses ke path staging. Pipeline produksi hanya memiliki akses ke path produksi. Jika sebuah pipeline mencoba membaca secret dari environment yang berbeda, vault akan menolak dan mencatat percobaannya. Ini bukan tentang kepercayaan. Ini tentang membuat tindakan yang salah menjadi tidak mungkin.

Rotasi Harus Otomatis

Aturan ketiga adalah tentang rotasi. Seberapa sering secret harus berubah? Jawabannya tergantung pada environment.

Secret development bisa dirotasi lebih jarang. Jika password database development bocor, radius ledakannya terbatas pada tim. Rotasi setiap tiga bulan biasanya cukup. Secret produksi perlu rotasi lebih sering. Setiap bulan adalah baseline yang wajar. Setiap kali anggota tim keluar, secret produksi yang pernah mereka akses harus segera dirotasi.

Poin utamanya adalah rotasi harus otomatis. Manusia lupa. Manusia sibuk. Manusia mengambil jalan pintas saat tenggat waktu mendekat. Pipeline harus menangani rotasi sesuai jadwal. Jika secret belum dirotasi pada tanggal yang dijadwalkan, pipeline harus menandainya atau memblokir deployment sampai rotasi terjadi. Ini bukan tentang menghukum tim. Ini tentang menghilangkan beban kognitif untuk mengingat rotasi.

Rencanakan Pemulihan

Aturan keempat adalah tentang pemulihan. Secret bisa hilang. Path vault bisa terhapus tidak sengaja. Seseorang merotasi secret dan lupa memperbarui layanan downstream. Ketika ini terjadi, tim perlu cara untuk pulih tanpa mengubah konfigurasi aplikasi.

Sebagian besar vault menyediakan riwayat versi. Secret yang terhapus bisa dikembalikan ke versi sebelumnya. Tapi kebijakan perlu mendefinisikan siapa yang berwenang melakukan pemulihan dan bagaimana prosesnya dicatat. Pemulihan tidak boleh menjadi tindakan bebas yang bisa dilakukan siapa saja. Ini harus memerlukan persetujuan dan meninggalkan jejak audit. Jika tidak, pemulihan menjadi pintu belakang yang melewati semua aturan lainnya.

Buat Dapat Ditegakkan

Semua aturan ini tidak berguna jika hanya ada sebagai dokumen. Kebijakan secret yang hidup di wiki dan tidak pernah diterjemahkan ke dalam konfigurasi bukanlah kebijakan. Itu hanya saran.

Tiga komponen membuat kebijakan secret menjadi nyata:

Kebijakan vault yang menegakkan aturan akses per environment.
Pipeline yang diisolasi per environment dan tidak bisa melintasi path.
Audit log yang ditinjau secara teratur, bukan hanya disimpan.

Tanpa ketiga komponen ini, kebijakan hanyalah kata-kata. Dengan ketiganya, kebijakan menjadi perilaku default sistem. Developer tidak perlu mengingat aturan. Sistem menegakkannya secara otomatis.

Daftar Periksa Praktis

Jika Anda menyiapkan kebijakan secret untuk tim Anda, berikut adalah daftar singkat yang perlu dikerjakan:

Tentukan path vault mana yang bisa dibaca oleh peran mana per environment.
Konfigurasikan kebijakan vault untuk menegakkan aturan tersebut, bukan hanya mendokumentasikannya.
Pisahkan akses pipeline sehingga setiap environment hanya bisa menjangkau secret-nya sendiri.
Tetapkan jadwal rotasi per environment dan otomatiskan di pipeline.
Tentukan siapa yang bisa memulihkan secret yang terhapus dan bagaimana pemulihan dicatat.
Tinjau audit log setidaknya sebulan sekali untuk percobaan akses yang tidak terduga.

Kesimpulan

Vault secret adalah alat. Kebijakan secret adalah buku aturan yang membuat alat tersebut berguna. Tanpa kebijakan, vault hanyalah tempat lain di mana secret disimpan secara tidak konsisten. Dengan kebijakan, vault menjadi sistem yang menegakkan bagaimana secret diakses, dirotasi, dan dipulihkan di setiap environment yang dijalankan tim Anda. Mulailah dengan aturan, lalu konfigurasikan vault untuk menegakkannya. Itulah perbedaan antara memiliki alat manajemen secret dan benar-benar mengelola secret.