Vault HashiCorp прикольная штука для безопасного хранения секретов с доступом к ним через API. Таким образом можно скрыть пароли в репозитории. Обезопасить от утечки секретов в репозиториях и утечки самой базы с секретами.
Раньше можно было просто скрывать пароли в переменных окружения, кстати хорошая тема, если вы уже используете env и храните там пароли, вы можете взглянуть на Vault, как следующий шаг развития темы безопасности. В этих сериях статей попробуем разобраться, как работать с Vault, так как по началу кажется зачем это все это просто лишнее перекладывание пароля.
К сожалению чтобы поддерживать высокий уровень безопасности, нужно принять ограничения и затраты на обслуживание и потраченное время для старта. И потом любое облегчение и автоматизация таит риски снижения уровня безопасности.
Фундамент безопасности Vault
Понимание — документация, практика, обучение
Криптография — SSS — разделаем master key, AEAD AES-GCM храним, TLS — передаем
Отказоустойчивость — HA Cluster Raft с интегрированным хранилищем BoltDB
Обновление — легкое обновления, одним файлом.
Правила — политики доступа ACL, частая смена токена, отзыв по времени TTL
Логирование — логи зашифрованы. Если нельзя записать, стоп Vault.
Мониторинг — сбор метрик Zabbix, Prometheus
Поделюсь подробными руководствами по Vault HashiCorp
0. Как работает Vault , основные термины, моменты, риски
1. Создать токен в Vault
2. Быстрый старт Dev среды для изучения возможностей Vault, плюс запуск в Vault в Docker Destop.
3. Поставить отдельный хост Vault на CentOS
4. Руководство, делаем HA Cluster Vault с локальным хранилищем в проде
5. Настроить логирование Vault в файл
6. Настроить мониторинг Vault Zabbix
7. Настроить бэкап и восстановление
Примеры использования Vault HashiCorp
Использование Vault в приложении.
Использование Vault в репозитории.
Использование Vault в Zabbix
Использование в GitLab
Есть хорошая документация Vault, которые делятся на три раздела
Подробные кейсы использования
Документация принципов работы
Документация API
Еще ссылки по Vault
Скачать последнюю версию Vault
Последние изменения Vault
Отличия лицензий