Комментарии 1
Коллеги, а зачем такое хулиганство с хранением фрагментов ключей Шамира на узле с Vault? Фактически, атакующему будет достаточно получить доступ к любой ВМ с Vault, чтобы собрать ключ, шифрующий мастер-ключ от всего крипто хранилища в Consul.
Банально, такую атаку сможет осуществить любой сотрудник, имеющий доступ к бэкапу ВМ.
Там же весь смысл разделяемых ключей в том, что никто из сотрудников не имеет достаточно данных в руках для расшифровки базы в одиночку.
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
От установки до использования: пример развертывания сервиса шифрования данных в покое