MaxMorar 4 сен в 15:03

Господин сенатор, шаттл подан: как мы переносим тысячи секретов в StarVault за секунды

Простой

4 мин

1.1K

Блог компании Orion softИнформационная безопасность*Системное администрирование*IT-инфраструктура*DevOps*

Обзор

+17

Комментарии 7

Ign0r 5 сен в 06:49

При переносе Secret Engines "PKI Certificates", что произойдёт в случае наличия объекта RootCA с неэкспортируемым приватным ключём?

MaxMorar 9 сен в 14:34

Перенос PKI в такой конфигурации пока еще не реализован, но мы ведем проработку обходных решений.

PStepanov90 5 сен в 08:34

@MaxMorar политики, indentity и настройки IDP предполагается переносить руками?

MaxMorar 9 сен в 14:35

Автоматизированный перенос политик, indentity и настроек IDP планируем сделать в одном из следующих релизов.

trublast 5 сен в 20:40

Немного странно в 2024г подключаться к Vault по http )

А если говорить про https - кастомные сертифкаты поддерживаются? А валидируются? Как передать CA для src и для dst?

Чем не устроила, например, https://github.com/jonasvinther/medusa для миграции данных, через api?
Или встроенный функционал по миграции бэкендов https://developer.hashicorp.com/vault/docs/commands/operator/migrate ?

MaxMorar 9 сен в 14:39

Скриншоты сделаны на одном из dev-стендов, на котором проводили первые тесты с использованием http. https поддерживается.

Поддержка сертификатов реализована средствами hvac. Раньше CA можно было подкидывать только через CLI, в последнем релизе добавили соответствующее поле в веб-интерфейс.

Про встроенную функциональность по миграции бэкендов: в этом случае необходимо сначала выполнить миграцию данных между Vault, а потом дополнительно выполнить миграцию бэкенда на конечном Vault. Тут невозможен точечный перенос необходимых секретов, да и по времени выходит дольше.

citius 7 сен в 12:30

CLI утилита на го, удобно для переноса секретов, и просто как клиент для волта без бинаря самого волта.

https://github.com/Qarik-Group/safe

Зарегистрируйтесь на Хабре, чтобы оставить комментарий