13 Conservazione dei segreti
Panoramica
Zabbix può essere configurato per recuperare informazioni sensibili da un vault sicuro. Sono supportati i seguenti servizi di gestione dei segreti: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
I segreti possono essere utilizzati per recuperare:
- valori delle macro utente
- credenziali di accesso al database
Zabbix fornisce accesso in sola lettura ai segreti in un vault, presupponendo che i segreti siano gestiti da un'altra persona.
For information about specific vault provider configuration, see:
Caching dei valori segreti
I valori delle macro segrete del vault vengono recuperati da Zabbix server a ogni aggiornamento dei dati di configurazione e quindi memorizzati nella cache di configurazione. Zabbix proxy riceve i valori delle macro segrete del vault da Zabbix server a ogni sincronizzazione della configurazione e li memorizza nella propria cache di configurazione.
La crittografia deve essere abilitata tra Zabbix server e proxy; in caso contrario, viene registrato un messaggio di avviso del server.
Per forzare manualmente l'aggiornamento dei valori segreti memorizzati nella cache da un vault, usa l'opzione da riga di comando secrets_reload.
Per le credenziali del database di Zabbix frontend, la memorizzazione nella cache è disabilitata per impostazione predefinita, ma può essere abilitata impostando l'opzione $DB['VAULT_CACHE'] = true in zabbix.conf.php. Le credenziali verranno memorizzate in una cache locale usando la directory dei file temporanei del filesystem. Il web server deve consentire la scrittura in una cartella temporanea privata (ad esempio, per Apache deve essere impostata l'opzione di configurazione PrivateTmp=True). Per controllare la frequenza con cui la cache dei dati viene aggiornata o invalidata, usa la costante ZBX_DATA_CACHE_TTL.
Configurazione TLS
Per configurare TLS per la comunicazione tra i componenti di Zabbix e il vault, aggiungere un certificato firmato da un'autorità di certificazione (CA) allo store CA predefinito a livello di sistema.
Per usare un'altra posizione, specificare la directory nel parametro di configurazione SSLCALocation di Zabbix server/proxy,
posizionare il file del certificato all'interno di quella directory, quindi eseguire il command CLI:
c_rehash .