• 시작하기 전에
• 새로운 비밀 생성 및 가져오기
• Fortanix DSM에서 기존 비밀 사용하기
• 코드 서명

튜토리얼: GitLab에서 Fortanix Data Security Manager (DSM) 사용하기

GitLab CI/CD 파이프라인을 위한 Fortanix Data Security Manager (DSM)를 보안 비밀 관리자로 사용할 수 있습니다.

이 튜토리얼에서는 Fortanix DSM에서 새로운 비밀을 생성하거나 기존 비밀을 사용하는 단계에 대해 설명합니다. 이 통합을 구현하기 위해 주의 깊게 지시 사항을 따라 데이터 보안을 강화하고 CI/CD 파이프라인을 최적화하세요.

시작하기 전에

다음 사항을 준비해주세요:

• Fortanix DSM 계정에 적절한 관리 권한이 있는지 확인하세요. 자세한 내용은 Getting Started with Fortanix Data Security Manager를 참조하십시오.
• GitLab 계정 및 해당 프로젝트에 액세스할 수 있는지 확인하세요.
• Fortanix DSM에서 비밀을 저장하고 생성하는 프로세스에 대한 지식이 필요합니다.
• 그룹, 애플리케이션, 플러그인, 변수 및 비밀 관리에 대한 Fortanix DSM 및 GitLab의 필요 권한에 액세스할 수 있어야 합니다.

새로운 비밀 생성 및 가져오기

Fortanix DSM에서 새로운 비밀을 생성하고 GitLab에서 사용하려면 다음 단계를 수행하세요:

1. Fortanix DSM 계정에 로그인합니다.
2. Fortanix DSM에서 새 그룹 및 애플리케이션을 생성합니다.
3. 애플리케이션을 위한 API 키를 인증 방법으로 구성합니다.

4. 다음 코드를 사용하여 Fortanix DSM에서 새 플러그인을 생성합니다:

   numericAlphabet = "0123456789"
   alphanumericAlphabet = numericAlphabet .. "abcdefghijklmnopqrstuvwxyz"
   alphanumericCapsAlphabet = alphanumericAlphabet .. "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
   alphanumericCapsSymbolsAlphabets = alphanumericCapsAlphabet .. "!@#$&*_%="
      
   function genPass(alphabet, len, name, import)
       local alphabetSize = #alphabet
       local password = ''
          
       for i = 1, len, 1 do
           local random_char = math.random(alphabetSize)
           password = password .. string.sub(alphabet, random_char, random_char)
       end
          
       local pass = Blob.from_bytes(password)
          
       if import == "yes" then
           local sobject = assert(Sobject.import { name = name, obj_type = "SECRET", value = pass, key_ops = {'APPMANAGEABLE', 'EXPORT'} })
           return password
       end
          
       return password;
   end
      
   function run(input)
       if input.type == "numeric" then
           return genPass(numericAlphabet, input.length, input.name, input.import)
       end
          
       if input.type == "alphanumeric" then
           return genPass(alphanumericAlphabet, input.length, input.name, input.import)
       end
          
       if input.type == "alphanumeric_caps" then
           return genPass(alphanumericCapsAlphabet, input.length, input.name, input.import)
       end
          
       if input.type == "alphanumeric_caps_symbols" then
           return genPass(alphanumericCapsSymbolsAlphabets, input.length, input.name, input.import)
       end
   end
   

   자세한 내용은 Fortanix 사용자 가이드: 플러그인 라이브러리를 참조하십시오.

   • Fortanix DSM에 비밀을 저장하려면 import 옵션을 yes로 설정하세요:

     {
         "type": "alphanumeric_caps",
         "length": 64,
         "name": "GitLab-Secret",
         "import": "yes"
     }
     

   • 회전을 위해 새 값만 생성하려면 import 옵션을 no로 설정하세요:

     {
         "type": "numeric",
         "length": 64,
         "name": "GitLab-Secret",
         "import": "no"
     }
     

5. GitLab에서 프로젝트로 이동합니다.
6. Settings > CI/CD > Variables로 이동하여 다음 변수를 추가하세요:
   • FORTANIX_API_ENDPOINT
   • FORTANIX_API_KEY
   • FORTANIX_PLUGIN_ID

7. 프로젝트의 .gitlab-ci.yml 구성 파일을 만들거나 편집하여 통합을 사용하세요:

   stages:
     - build
      
   build:
     stage: build
     image: ubuntu
     script:
       - apt-get update
       - apt install --assume-yes jq
       - apt install --assume-yes curl
       - jq --version
       - curl --version
       - secret=$(curl --silent --request POST --header "Authorization:Basic ${FORTANIX_API_KEY}" ${FORTANIX_API_ENDPOINT}/sys/v1/plugins/${FORTANIX_PLUGIN_ID} --data "{\"type\":\"alphanumeric_caps\", \"name\":\"$CI_PIPELINE_ID\",\"import\":\"yes\", \"length\":\"48\"}" | jq --raw-output)
       - nsecret=$(curl --silent --request POST --header "Authorization:Basic ${FORTANIX_API_KEY}" ${FORTANIX_API_ENDPOINT}/sys/v1/plugins/${FORTANIX_PLUGIN_ID} --data "{\"type\":\"alphanumeric_caps\", \"import\":\"no\", \"length\":\"48\"}" | jq --raw-output)
       - encodesecret=$(echo $nsecret | base64)
       - rotate=$(curl --silent --request POST --header "Authorization:Basic ${FORTANIX_API_KEY}" ${FORTANIX_API_ENDPOINT}/crypto/v1/keys/rekey --data "{\"name\":\"$CI_PIPELINE_ID\", \"value\":\"$encodesecret\"}" | jq --raw-output .kid)
   

8. .gitlab-ci.yml 파일을 저장한 후 파이프라인이 자동으로 실행되어야 합니다. 그렇지 않은 경우, Build > Pipelines > Run pipeline을 선택하세요.

9. Build > Jobs로 이동하여 build 작업의 로그를 확인하세요:

   • 

Fortanix DSM에서 기존 비밀 사용하기

기존에 Fortanix DSM에 있는 비밀을 GitLab에서 사용하려면 다음 단계를 수행하세요:

1. Fortanix에서 비밀이 내보낼 수 있도록 표시되어 있어야 합니다:

   

2. GitLab에서 프로젝트로 이동합니다.
3. Settings > CI/CD > Variables로 이동하여 다음 변수를 추가하세요:
   • FORTANIX_API_ENDPOINT
   • FORTANIX_API_KEY
   • FORTANIX_PLUGIN_ID

4. 프로젝트의 .gitlab-ci.yml 구성 파일을 만들거나 편집하여 통합을 사용하세요:

   stages:
     - build
      
   build:
     stage: build
     image: ubuntu
     script:
     - apt-get update
     - apt install --assume-yes jq
     - apt install --assume-yes curl
     - jq --version
     - curl --version
     - secret=$(curl --silent --request POST --header "Authorization:Basic ${FORTANIX_API_KEY}" ${FORTANIX_API_ENDPOINT}/crypto/v1/keys/export --data "{\"name\":\"${FORTANIX_SECRET_NAME}\"}" | jq --raw-output .value)
   

5. .gitlab-ci.yml 파일을 저장한 후 파이프라인이 자동으로 실행되어야 합니다. 그렇지 않은 경우, Build > Pipelines > Run pipeline을 선택하세요.

6. Build > Jobs로 이동하여 build 작업의 로그를 확인하세요:

   • 

코드 서명

GitLab 환경에서 코드 서명을 안전하게 설정하려면 다음을 수행하세요:

1. Fortanix DSM 계정으로 로그인합니다.

2. keystore_password 및 key_password을 Fortanix DSM의 시크릿으로 가져옵니다. 두 값이 내보낼 수 있도록 표시되었는지 확인합니다.

   

3. GitLab에서 프로젝트로 이동합니다.
4. 설정 > CI/CD > 변수로 이동하여 다음 변수를 추가합니다:
   • FORTANIX_API_ENDPOINT
   • FORTANIX_API_KEY
   • FORTANIX_SECRET_NAME_1 (keystore_password용)
   • FORTANIX_SECRET_NAME_2 (key_password용)

5. 프로젝트의 .gitlab-ci.yml 구성 파일을 만들거나 편집하여 통합을 사용합니다:

   stages:
     - build
      
   build:
     stage: build
     image: ubuntu
     script:
       - apt-get update -qy
       - apt install --assume-yes jq
       - apt install --assume-yes curl
       - apt-get install wget
       - apt-get install unzip
       - apt-get install --assume-yes openjdk-8-jre-headless openjdk-8-jdk   # Java 설치
       - keystore_password=$(curl --silent --request POST --header "Authorization:Basic ${FORTANIX_API_KEY}" ${FORTANIX_API_ENDPOINT}/crypto/v1/keys/export --data "{\"name\":\"${FORTANIX_SECRET_NAME_1}\"}" | jq --raw-output .value)
       - key_password=$(curl --silent --request POST --header "Authorization:Basic ${FORTANIX_API_KEY}" ${FORTANIX_API_ENDPOINT}/crypto/v1/keys/export --data "{\"name\":\"${FORTANIX_SECRET_NAME_2}\"}" | jq --raw-output .value)
       - echo "yes" | keytool -genkeypair -alias mykey -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass $keystore_password -keypass $key_password -dname "CN=test"
       - mkdir -p src/main/java
       - echo 'public class HelloWorld { public static void main(String[] args) { System.out.println("Hello, World!"); } }' > src/main/java/HelloWorld.java
       - javac src/main/java/HelloWorld.java
       - mkdir -p target
       - jar cfe target/HelloWorld.jar HelloWorld -C src/main/java HelloWorld.class
       - jarsigner -keystore keystore.jks -storepass $keystore_password -keypass $key_password -signedjar signed.jar target/HelloWorld.jar mykey
   

6. .gitlab-ci.yml 파일을 저장한 후 파이프라인이 자동으로 실행됩니다. 그렇지 않은 경우, 빌드 > 파이프라인 > 파이프라인 실행을 선택합니다.

7. 빌드 > 작업으로 이동하여 build 작업 로그를 확인합니다:

   •