Vault — самое популярное в мире корпоративное хранилище секретов. С 2023 года его практически невозможно использовать в российских компаниях с сохранением лицензионной чистоты из-за новых политик лицензирования его разработчика, британской компании HashiСorp.
Мы сами применяем Vault в собственных продуктах, и в 2023 году нам пришлось решать эту проблему для себя и всех, кого это касается в России. На основе материнского решения от HashiСorp мы сделали публичный продукт, аналог Vault, позволяющий компаниям соблюдать лицензионную чистоту, с поддержкой от отечественного вендора, безопасный с точки зрения размещения кодовой базы в РФ и контроля безопасности компонентов. В общем, встречайте полноценную альтернативу HashiСorp Vault, StarVault от Orion soft.
Меня зовут Максим Морарь. В Orion soft я product-owner корпоративного хранилища секретов StarVault, а также платформы Nova Container Platform, с которой связана история рождения хранилища. Я расскажу о StarVault, его появлении и сегодняшних задачах российского рынка, которые он решает. И кстати, он больше, чем просто хранилище секретов. Буду рад обратной связи в комментариях.
Итак, поехали!
Предпосылки: изменение лицензионной политики HashiCorp
Уже несколько лет мы активно работаем с HashiСorp Vault, решая ряд задач, связанных с хранением данных, в том числе делаем управление секретами более гибким. Этот модуль выступает в качестве встроенного компонента безопасности в нашу Nova Container Platform — большую и комплексную платформу для эксплуатации контейнеризованных приложений.
В августе 2023 года компания HashiСorp изменила лицензионную политику для ряда своих продуктов, среди которых был и всеми любимый Vault. Его новые версии начали распространяться не под открытой лицензией MPL v2.0, как это было раньше, а под лицензией BSL, которая полностью открытой, как вы знаете, не является. Нужно было понять, как это влияет на дальнейшее развитие Nova и что нам теперь делать.
Новые условия использования Vault трактуют по-разному и спорят о них по сей день. Участвовать в этих спорах у меня нет желания, но мы выработали для себя трактовку, на которую опирались в решениях о дальнейшей жизни и развитии продуктов. Как и многие компании, которые заботятся о лицензионной чистоте, мы трактуем эти условия так:
Новые версии Vault больше нельзя использовать в составе своих продуктов, если ты с помощью них зарабатываешь деньги.
Новые версии Vault больше нельзя использовать в production-системах, если ты с помощью этих production-систем извлекаешь прибыль (то есть, речь почти о любых production-системах).
Это упрощенные формулировки, но они отражают суть. Если вам интересно, откуда они вытекают в юридическом смысле и почему мы сделали именно такие выводы — добро пожаловать в комментарии.
Какие у нас были варианты
Итак, мы и сотни или даже тысячи других российских компаний больше не можем использовать актуальные версии Vault, как раньше, то есть — бесплатно, потому что это нарушает лицензионную политику HashiСorp. Заплатить мы тоже не можем, потому что Hashicorp с компаниями из РФ больше не сотрудничает.
Варианта у нас с вами в этой ситуации три:
Забить. Прикрыться альтернативными трактовками формулировок об условиях использования и надеяться, что вендор никогда не доберется со своими аудитами до компании из далёкой России.
Искать open source-аналоги в community. Это прекрасный вариант, за исключением одного большого НО. Этих аналогов нет. Мы проанализировали все существующие решения такого класса и с уверенностью заявляем: альтернативы Vault с точки зрения функциональности, удобства использования и архитектурной привлекательности в природе не существует.
Сделать собственное решение на базе Vault. Этот вариант — скорее для продуктовых ИТ-компаний, которые зарабатывают на ПО деньги.
Как вы, наверное, догадались, мы пошли по третьему пути. Забивать на лицензионную чистоту мы не хотим из принципиальных соображений. Отказываться от Vault мы, как и многие наши клиенты в РФ, тоже не готовы: если Vault используется внутри инфраструктуры или продукта, его очень тяжело оттуда выковырять. А если и получится, то вся архитектура сильно потеряет в функциональности, потому что полноценных аналогов Vault нет.
Исходя из этих соображений и наличия многолетней экспертизы в самом Vault, мы решили сделать собственное решение. Оно базируется на последней актуальной версии MPL v2.0, которая имеет ряд улучшений.
Итак, встречайте: StarVault
StarVault — корпоративное хранилище секретов, которое полностью поддерживает все функциональности Vault.
StarVault рождён как компонент полностью российской платформы контейнеризации Nova, и его работа уже обкатана у десятков наших клиентов, которые используют Nova: StarVault там находится в каждом кластере. Теперь мы сделали StarVault доступным как standalone-решение.
Под капотом StarVault — HashiСorp Vault версии 1.14.8, но:
Он собран, поставляется и полноценно функционирует на российских ОС (РЕД ОС и Астра Линукс)
Мы оказываем техническую поддержку всего решения и предоставляем его регулярные обновления в рамках собственного релизного цикла.
В ближайшее время он будет внесен в реестр российского ПО (заявка уже подана). Далее планируется работа над получением сертификата ФСТЭК.
Полностью переделан UI управления, который теперь стал значительно удобнее и привлекательнее.
Вся кодовая база хранится у нас, на территории РФ, и контролируется нами. Мы гарантируем чистоту кода, пересобираем компоненты и дополнительно устраняем уязвимости. Таким образом, мы выступаем гарантом безопасности использования всех компонентов продукта.
Как и HashiСorp Vault, StarVault можно установить на все популярные ОС, он интегрируется с Kubernetes, Docker, CI/CD-системами, системами управления конфигурациями и многим другим.
Функциональности StarVault включают:
Безопасное хранение чувствительной информации и защищённый доступ к ней. Это секреты для микросервисов Kubernetes, сертификаты, секреты для билдов CI/CD, ключи доступа к API и так далее.
Хранение секретов в зашифрованном виде.
Возможность управления пользователями и политиками.
Функциональность OIDC-провайдера для интеграции с внешними системами и облачными сервисами за счет сквозной аутентификации.
Полноценный сервер PKI-инфраструктуры на базе StarVault для удобного создания, управления и ротации сертификатов.
Миграция
Детали механизма миграции зависят от архитектуры. Но мы уже не раз проводили её и имеем план быстрой и простой миграции без даунтайма для любой инфраструктуры. Если у вас стоит HashiСorp Vault, то у нас есть сформулированная практика по миграции на StarVault именно для вашего кейса. Мы делимся нашими подходами с клиентами, а также можем мигрировать и задокументировать решение своими силами (или с привлечением наших технологических партнёров), под ключ, безболезненно для клиентской инфраструктуры. Возможно, посвятим миграции отдельную статью.
Итог
Если вам нужна российская альтернатива HashiСorp Vault, вы хотите получить безопасный и удобный продукт с минимальными приседаниями при миграции и развертывании — приходите, мы вам поможем.
В будущем мы гарантируем дальнейшее развитие StarVault, регулярные обновления, полноценную техническую поддержку на всех уровнях и важные локальные сертификации. В ближайшем будущем планируем проверить гипотезу о том, что отечественным компаниям нужна поддержка российских криптоалгоритмов.
Что думаете? Вам надо/нет?