Comments 19
UFO just landed and posted this here
Алина просто переводчик, думаю вам стоит попробовать самостоятельно интегрировать аудит с вашим решением. Мы сейчас работаем над полноценным внедрением, у нас планируется хранение PKI и секретов, аутентификация на базе АД и несколько вспомогательных механизмов для автоматизации.
Рада, что вам было полезно!
В нашей компании Vault используется уже достаточно давно, около года назад. В основном используем его, чтобы хранить именно секреты (пароли, ключи, сертификаты) для Kubernetes с возможностью их оперативного изменения и деплоя через GitLab CI. К помощи Vault Audit прибегаем редко, только если когда непосредственно посмотреть лог доступа за определенный период.
В нашей компании Vault используется уже достаточно давно, около года назад. В основном используем его, чтобы хранить именно секреты (пароли, ключи, сертификаты) для Kubernetes с возможностью их оперативного изменения и деплоя через GitLab CI. К помощи Vault Audit прибегаем редко, только если когда непосредственно посмотреть лог доступа за определенный период.
На работе мы перешли на Vault (3 x ECS-контейнера + DynamoDB на AWS) с gopass+gpg2+git чуть больше полугода назад. Vault — хорошая штука по многим аспектам:
- скорость: судя по нагрузочным тестам, наш довольно скромный setup легко потянет тысячи запросов в секунду, как на чтение, так и на запись
- интеграция: Terraform (само собой), Ansible, теперь вот и GitLab нативно и мн. др.
- аутентификация/авторизация: удобная SSO-интеграция, роли и т.п.
Но вот что реально напрягает, так это отсутствие встроенного поиска. Есть несколько сторонних проектов, реализующих поиск на клиентской стороне путём обхода всего дерева, но, блин, это как-то тупо. Понятно, что поиск — это не просто так, что каждая policy задаёт ограничения на то, где и что можно искать и показывать. Но, всё-таки, без поиска жить очень неудобно.
Что-то как-то не очень понятно — а от чего защищаемся-то? Что и от кого пытаемся скрыть?
А то пока что выглядит как театр безопасности.
Кстати после этой статьи может возникнуть вопрос как передавать секреты между стейджами.
Кроме как использовать кэш не нашел ничего.
Кроме как использовать кэш не нашел ничего.
Sign up to leave a comment.
Аутентификация и чтение секретов в HashiCorp's Vault через GitLab CI