ITI01 Hashicorp Vault

Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно.
====== ITI01 Hashicorp Vault ======
{{tag>Контур:Инфраструктурные_услуги Реализация:через_тсл}}

===== Проблемы =====
  - Необходимость выполнения требований информационной безопасности, предусматривающих недопустимость хранения логинов и паролей в открытом виде на сервере.
  - Слабая защищенность логинов и паролей технических учётных записей в базовой коробочной версии серверного приложения ADVANTA.

===== Выгоды =====
  - Повышаем безопасность системы.
  - Пароли не хранятся в конфигах. В БД ADVANTA открыто хранится только хэш для доступа к Hashicorp Vault.
  - Решение Hashicorp Vault реализовано на основе ПО с открытым исходным кодом.

===== Назначение =====
  - Начиная с версии ADVANTA 3.30, чтобы повысить безопасность хранения секретов (паролей, токенов/маркеров-доступа, API-ключей, закрытых криптографических ключей и т.п.) можно настроить подключение системы ADVANTA к СУБД или сервису Active Directory через сервис хранения секретов HashiCorp Vault. В этом случае в системе или файлах конфигурации не будут храниться пароли к сервисам и службам компании. Решение на основе ПО с открытым исходным кодом.

===== Компоненты решения =====
HashiCorp Vault - это инструмент для управления секретами и обеспечения безопасности данных в облачной инфраструктуре. Его основное назначение - помочь организациям безопасно управлять доступом к конфиденциальной информации.
Основные функциональные возможности:
  - Управление секретами: \\ a. Хранение различных типов секретов (пароли, API-ключи, SSH-ключи, RSA-токены, OTP) \\ b. Динамическая генерация доступа для сервисов \\ c. Возможность ротации и отзыва доступа \\ d. Централизованный контроль над всеми секретами
  - Управление доступом: \\ a. Аутентификация пользователей (как людей, так и машин) \\ b. Роль-based access control (RBAC) для человеческих пользователей \\ c. Временные токены для ограниченного доступа \\ d. Детальное логирование действий
  - Шифрование данных: \\ a. Защита данных при передаче (TLS) \\ b. Шифрование данных в состоянии покоя (AES 256-бит CBC) \\ c. Централизованное управление ключами \\ d. Возможность обновления ключей в распределенной инфраструктуре
  - Практическое применение: \\ a. Безопасное хранение учетных данных баз данных \\ b. Управление API-ключами для различных сервисов \\ c. Контроль доступа к конфиденциальной информации \\ d. Защита секретов при миграции в облако \\ e. Интеграция с CI/CD процессами

HashiCorp Vault особенно полезен для организаций, которые хотят улучшить безопасность своих облачных решений без ущерба для рабочих процессов разработки и эксплуатации. Это бесплатный open-source продукт с дополнительным enterprise-функционалом для крупных организаций.

^  Компонент  ^  Стоимость / трудоемкость  ^
|1. ПО Hashicorp Vault|Бесплатное ПО|
|2. Работы по настройке силами ОИТ|От 40 часов|
|3. Разработка технической документации \\ Варианты: \\ а) краткая схема взаимодействия компонентов системы или \\ б) подробный технический проект|От 40 часов|

Ссылки: \\
[[product:settings:system:vault|Настройка хранения строк подключения в Hashicorp Vault]] (Wiki)
{{page>opportunities:start#обратная_связь}}