Làm thế nào để quản lý secrets và credentials một cách an toàn?

Question

Accepted Answer

**Secrets** (API keys, mật khẩu, tokens, encryption keys) phải được quản lý an toàn — không bao giờ hardcode trong code hoặc commit vào version control, mà được lưu trữ và truy cập một cách an toàn. Quản lý secrets kém là một nguồn vi phạm phổ biến, nghiêm trọng.

## Quy tắc tối cao: không bao giờ hardcode hoặc commit secrets

```text
❌ KHÔNG BAO GIỜ hardcode secrets trong source code hoặc commit chúng vào Git:
  → secrets đã commit nằm trong LỊCH SỬ repo (bị lộ ngay cả khi "gỡ bỏ" sau đó)
  → repo public / rò rỉ làm lộ chúng cho kẻ tấn công (bots liên tục quét GitHub tìm keys)
  → một nguyên nhân HÀNG ĐẦU của vi phạm (AWS keys bị lộ, mật khẩu database, API tokens)
⚠️ Nếu một secret BỊ commit/lộ → XOAY nó ngay lập tức (nó đã bị xâm phạm)
```

## Cách quản lý secrets đúng cách

```text
✓ ENVIRONMENT VARIABLES → inject secrets lúc runtime (không phải trong code); giữ .env NGOÀI Git
  (.gitignore) — cách tiếp cận cơ bản
✓ SECRETS MANAGERS → HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, v.v.:
  → lưu trữ secret tập trung, được mã hóa, kiểm soát truy cập, được audit, có thể xoay
  → cách tiếp cận vững chắc cho production (lấy secrets lúc runtime)
✓ Cloud/platform secret stores; CI/CD secret stores (cho secrets của pipeline)
```

## Các thực hành tốt nhất

```text
✓ LEAST PRIVILEGE — secrets chỉ cấp quyền truy cập cần thiết
✓ XOAY secrets thường xuyên (và ngay lập tức nếu bị lộ); ưu tiên credentials NGẮN HẠN
  (ví dụ tokens tạm thời, OIDC) hơn static keys dài hạn
✓ Audit việc truy cập secret; encrypt secrets khi lưu trữ; đừng LOG secrets
✓ QUÉT tìm secrets đã commit (git-secrets, scanners trong CI) để bắt rò rỉ sớm
✓ Tách secrets riêng cho mỗi môi trường (dev/staging/prod)
```

## Tại sao điều này quan trọng

Hiểu cách quản lý secrets an toàn là quan trọng vì **quản lý secrets kém là một nguồn vi phạm phổ biến, nghiêm trọng**, nên đó là kiến thức bảo mật có giá trị, then chốt thực tế. **Quy tắc tối cao** — **không bao giờ hardcode secrets trong code hoặc commit chúng vào version control** — là thiết yếu vì secrets đã commit nằm trong lịch sử repository (bị lộ ngay cả khi "gỡ bỏ" sau đó), repo public và rò rỉ làm lộ chúng cho kẻ tấn công (những kẻ liên tục quét GitHub tìm keys), khiến secrets bị lộ (AWS keys, mật khẩu database, API tokens) trở thành **một nguyên nhân hàng đầu của các vụ vi phạm thực tế**.

Hiểu điều này, và rằng **secrets bị lộ phải được xoay ngay lập tức** (chúng đã bị xâm phạm một khi bị lộ), là kiến thức then chốt.

Hiểu cách **quản lý secrets đúng cách** — **environment variables** (inject secrets lúc runtime, giữ file `.env` ngoài Git — cách tiếp cận cơ bản), **secrets managers** (Vault, AWS Secrets Manager, v.v. cung cấp lưu trữ tập trung, được mã hóa, kiểm soát truy cập, được audit, có thể xoay — cách tiếp cận vững chắc cho production, lấy secrets lúc runtime), và platform/CI secret stores — là cần thiết để xử lý secrets đúng cách.

Hiểu các **thực hành tốt nhất** — least privilege (secrets cấp quyền truy cập tối thiểu), **xoay secrets** thường xuyên và ngay lập tức nếu bị lộ, ưu tiên **credentials ngắn hạn** hơn static keys dài hạn (một thực hành tốt nhất hiện đại), audit việc truy cập, không log secrets, **quét tìm secrets đã commit** (bắt rò rỉ sớm), và tách secrets riêng cho mỗi môi trường — phản ánh quản lý secrets toàn diện.

Quản lý secrets là một lĩnh vực rủi ro cao nơi sai lầm phổ biến (hardcode/commit secrets) gây ra các vụ vi phạm lớn, trong khi quản lý đúng cách bảo vệ các credentials then chốt.

Vì quản lý secrets kém là một nguồn vi phạm phổ biến, nghiêm trọng và quản lý đúng cách (không bao giờ hardcode/commit, dùng env vars hoặc secrets managers, xoay, credentials ngắn hạn, quét) bảo vệ các credentials then chốt, và vì hiểu điều này là thiết yếu cho bảo mật, nên hiểu cách quản lý secrets an toàn là kiến thức bảo mật có giá trị, then chốt thực tế — giải quyết một lỗ hổng thường xuyên, gây hại (secrets bị lộ), nơi việc xử lý đúng cách (không bao giờ commit secrets, dùng lưu trữ phù hợp, xoay, quét) là kiến thức thiết yếu để ngăn chặn các vụ rò rỉ credential gây ra nhiều vụ vi phạm thực tế.