Visão Geral

Este Curso IBM HashiCorp Vault Security and Secrets Management, aborda de forma abrangente os conceitos, arquitetura, implantação, operação e boas práticas do IBM/HashiCorp Vault para gerenciamento seguro de segredos, chaves criptográficas, certificados e credenciais dinâmicas. Durante o treinamento, os participantes aprenderão como implementar uma plataforma de Secret Management alinhada aos princípios de Zero Trust, automatizando o controle de acesso a credenciais sensíveis e reduzindo riscos de exposição de dados.

O treinamento inclui atividades práticas (Hands-On) que demonstram como instalar, configurar e operar o Vault em ambientes corporativos, implementar políticas de acesso, integrar métodos de autenticação empresariais, gerenciar tokens e utilizar motores de segredos para emissão dinâmica de credenciais e certificados.

Também são abordados tópicos avançados como alta disponibilidade, replicação, integração com plataformas Kubernetes/OpenShift, automação com Terraform, governança de segredos, resposta a incidentes e estratégias de hardening e operação segura em ambientes de produção, incluindo cenários de integração com plataformas IBM.

Objetivo

Após realizar este Curso IBM/HashiCorp Vault Security and Secrets Management, você será capaz de:

• Compreender os conceitos fundamentais de Secret Management e segurança de credenciais
• Entender a arquitetura e os componentes do IBM/HashiCorp Vault
• Instalar e configurar ambientes Vault em alta disponibilidade
• Gerenciar segredos estáticos e dinâmicos de forma segura
• Criar e administrar tokens, políticas e controles de acesso
• Implementar métodos de autenticação integrados com sistemas corporativos
• Utilizar motores de segredos para certificados, chaves e credenciais dinâmicas
• Integrar o Vault com plataformas Kubernetes e OpenShift
• Administrar replicação, backup e recuperação de desastres
• Realizar troubleshooting e resposta a incidentes em ambientes Vault
• Aplicar boas práticas de hardening, governança e automação de segredos

Publico Alvo

• Administradores de sistemas
• Engenheiros DevOps
• Engenheiros de segurança da informação
• Arquitetos de cloud e infraestrutura
• Profissionais de plataforma Kubernetes
• Administradores de infraestrutura que precisam gerenciar credenciais e segredos de forma segura

Pre-Requisitos

• Conhecimentos básicos de Linux
• Conhecimentos básicos de redes e segurança da informação
• Noções de containers e Kubernetes são recomendadas
• Conhecimento básico de infraestrutura cloud ou datacenter

Materiais

Conteúdo Programatico

Module 1: Introduction and Fundamentals of Secret Management

1. Problemas comuns no gerenciamento de segredos
2. Conceito de Secret Management
3. Diferença entre:

3.1 Secrets Management
3.2 Key Management
3.3 Encryption as a Service

1. Casos de uso do Vault
2. Conceitos de Zero Trust aplicados a segredos
3. Modelo de segurança do Vault
4. Threat model e superfície de ataque

5. Princípios de segurança
   8.1 Least privilege
   8.2 Short-lived credentials
   8.3 Just-in-time access

Module 2: Vault Architecture

1. Arquitetura geral do Vault
2. Componentes principais
3. 2.1 Server
4. 2.2 CLI
5. 2.3 API
6. 2.4 UI
7. Fluxo de autenticação e autorização
8. Motores de segredo (Secrets Engines)
9. Métodos de autenticação (Auth Methods)
10. Storage backends
11. 6.1 Integrated Storage (Raft)
12. 6.2 Consul
13. 6.3 Cloud storages
14. Alta disponibilidade
15. Leader election
16. Disaster Recovery
17. Performance Replication
18. Boas práticas de arquitetura
19. Topologias de implantação
20. Isolamento de ambientes
21. Considerações de segurança

Module 3: Installation and Initial Configuration

1. Pré-requisitos de infraestrutura
2. Instalação do Vault
3. Estrutura de configuração
4. Configuração do storage backend
5. Configuração de TLS
6. Inicialização do Vault
7. Processo de unseal
8. Shamir Secret Sharing
9. Configuração de cluster em Alta Disponibilidade
10. Boas práticas recomendadas pelo fabricante
11. Hardening inicial
12. Validação da instalação
13. Deploy de cluster Vault
14. Inicialização
15. Processo de unseal

Module 4: Secrets Concepts

1. O que são segredos
2. Segredos estáticos
3. Segredos dinâmicos
4. Credenciais Just-in-Time (JIT)
5. Renovação automática
6. Revogação automática
7. TTL (Time-to-live)
8. Lease management
9. Tipos de segredos
10. 9.1 senhas
11. 9.2 chaves
12. 9.3 certificados
13. 9.4 tokens de API
14. 9.5 credenciais de banco
15. Ciclo de vida de segredos
16. Criação de segredos
17. Renovação e revogação

Module 5: Vault Tokens

1. Papel dos tokens no Vault
2. Tipos de tokens
3. Hierarquia de tokens
4. Token parent-child
5. Periodic tokens
6. Token accessors
7. Tokens com CIDR restriction
8. TTL de tokens
9. Renovação de tokens
10. Revogação de tokens
11. Estratégias de uso seguro
12. Criação de tokens
13. Teste de hierarquia e revogação

Module 6: Policies and Access Control

1. Modelo de autorização do Vault
2. Estrutura das políticas
3. Políticas em HCL
4. Políticas em JSON
5. Permissões
6. 5.1 read
7. 5.2 write
8. 5.3 list
9. 5.4 delete
10. Escopos de acesso
11. Templates de políticas
12. Controle granular de acessos
13. Associação de políticas
14. 9.1 tokens
15. 9.2 entidades
16. 9.3 grupos
17. Boas práticas de políticas
18. Criação de políticas
19. Aplicação de políticas a usuários

Module 7: Authentication Methods

1. Conceito de Auth Methods
2. Backends de autenticação
3. Fluxo de login
4. Configuração de autenticação via
5. 4.1 Microsoft Active Directory
6. 4.2 OpenID Connect
7. Mapeamento de grupos
8. Entidades do Vault
9. Identity Secrets Engine
10. Federation de identidade
11. Integração com AD
12. Login via OIDC

Module 8: Secrets Engines

1. Conceitos de PKI
2. Autoridades certificadoras
3. Configuração do motor PKI
4. Emissão de certificados
5. Rotação de certificados
6. Distribuição de certificados
7. Conceito de KMIP
8. Casos de uso
9. Integração com sistemas externos
10. Conceito de KMS
11. Gerenciamento de chaves
12. Integração com aplicações
13. Emissão de certificados
14. Uso de chaves

Module 9: Platform Integrations

1. Arquitetura de integração
2. Instalação do Vault no cluster
3. Vault Agent
4. Vault Agent Sidecar Injector
5. Vault Secrets Operator (VSO)
6. CSI Secrets Store Driver
7. Vault CSI Provider
8. Injeção automática de segredos
9. Integração com IBM Storage Fusion
10. Volumes criptografados
11. Criptografia em storage
12. 11.1 Bloco
13. 11.2 Objeto
14. CertManager
15. Red Hat OpenShift GitOps
16. ArgoCD
17. Deploy de aplicação usando segredos do Vault

Module 10: Operation and Administration

1. Monitoramento do Vault
2. Auditoria
3. Audit devices
4. Logs
5. Snapshots
6. Backup
7. Restore
8. Rotação de chaves
9. Atualização sem downtime
10. Gestão de performance
11. Boas práticas operacionais
12. Backup e restore

Module 11: Replication

1. Conceito de replicação no Vault
2. Tipos de replicação
3. 2.1 Performance Replication
4. 2.2 Disaster Recovery Replication
5. Arquitetura primário/secundário
6. Sincronização de dados
7. Failover
8. Segurança na replicação
9. TLS entre clusters
10. Cenários multi-datacenter
11. Configuração de replicação

Module 12: Incident Management

1. Troubleshooting do Vault
2. Diagnóstico de falhas
3. Identificação de erros
4. Estratégias de mitigação
5. Procedimentos de emergência
6. Unseal de emergência
7. Perda de quórum
8. Perda de chaves
9. Backup corrompido
10. Falha de cluster
11. Revogação em massa de tokens
12. Recuperação de desastre
13. Simulação de incidentes

Module 13: Advanced Best Practices

1. Hardening do Vault
2. Rotação automática de credenciais
3. Segregação de ambientes
4. Uso de namespaces (Vault Enterprise)
5. Estratégias de governança
6. Automação com Terraform
7. CI/CD seguro
8. Integração com pipelines