Comments 19
UFO just landed and posted this here
Алина просто переводчик, думаю вам стоит попробовать самостоятельно интегрировать аудит с вашим решением. Мы сейчас работаем над полноценным внедрением, у нас планируется хранение PKI и секретов, аутентификация на базе АД и несколько вспомогательных механизмов для автоматизации.
0
Рада, что вам было полезно!
В нашей компании Vault используется уже достаточно давно, около года назад. В основном используем его, чтобы хранить именно секреты (пароли, ключи, сертификаты) для Kubernetes с возможностью их оперативного изменения и деплоя через GitLab CI. К помощи Vault Audit прибегаем редко, только если когда непосредственно посмотреть лог доступа за определенный период.
В нашей компании Vault используется уже достаточно давно, около года назад. В основном используем его, чтобы хранить именно секреты (пароли, ключи, сертификаты) для Kubernetes с возможностью их оперативного изменения и деплоя через GitLab CI. К помощи Vault Audit прибегаем редко, только если когда непосредственно посмотреть лог доступа за определенный период.
+1
На работе мы перешли на Vault (3 x ECS-контейнера + DynamoDB на AWS) с gopass+gpg2+git чуть больше полугода назад. Vault — хорошая штука по многим аспектам:
- скорость: судя по нагрузочным тестам, наш довольно скромный setup легко потянет тысячи запросов в секунду, как на чтение, так и на запись
- интеграция: Terraform (само собой), Ansible, теперь вот и GitLab нативно и мн. др.
- аутентификация/авторизация: удобная SSO-интеграция, роли и т.п.
Но вот что реально напрягает, так это отсутствие встроенного поиска. Есть несколько сторонних проектов, реализующих поиск на клиентской стороне путём обхода всего дерева, но, блин, это как-то тупо. Понятно, что поиск — это не просто так, что каждая policy задаёт ограничения на то, где и что можно искать и показывать. Но, всё-таки, без поиска жить очень неудобно.
0
Что-то как-то не очень понятно — а от чего защищаемся-то? Что и от кого пытаемся скрыть?
А то пока что выглядит как театр безопасности.
-3
Кстати после этой статьи может возникнуть вопрос как передавать секреты между стейджами.
Кроме как использовать кэш не нашел ничего.
Кроме как использовать кэш не нашел ничего.
0
Sign up to leave a comment.
Аутентификация и чтение секретов в HashiCorp's Vault через GitLab CI