13 Przechowywanie sekretów

Przegląd

Zabbix można skonfigurować tak, aby pobierał poufne informacje z bezpiecznego sejfu. Obsługiwane są następujące usługi zarządzania sekretami: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Sekrety mogą być używane do pobierania:

• wartości makr użytkownika
• poświadczeń dostępu do bazy danych

Zabbix zapewnia dostęp tylko do odczytu do sekretów w sejfie, zakładając, że sekrety są zarządzane przez inną osobę.

Aby uzyskać informacje o konfiguracji konkretnego dostawcy sejfu, zobacz:

• Konfiguracja HashiCorp
• Konfiguracja CyberArk

Buforowanie wartości tajnych

Wartości makr tajnych z Vault są pobierane przez serwer Zabbix przy każdym odświeżeniu danych konfiguracyjnych, a następnie zapisywane w pamięci podręcznej konfiguracji. Proxy Zabbix otrzymuje wartości makr tajnych z Vault od serwera Zabbix przy każdej synchronizacji konfiguracji i zapisuje je we własnej pamięci podręcznej konfiguracji.

Aby ręcznie wymusić odświeżenie buforowanych wartości tajnych z Vault, użyj opcji wiersza poleceń secrets_reload.

W przypadku frontend Zabbix buforowanie poświadczeń bazy danych jest domyślnie wyłączone, ale można je włączyć, ustawiając opcję $DB['VAULT_CACHE'] = true w pliku zabbix.conf.php. Poświadczenia będą przechowywane w lokalnej pamięci podręcznej z użyciem katalogu plików tymczasowych systemu plików. Serwer WWW musi zezwalać na zapis w prywatnym folderze tymczasowym (na przykład w przypadku Apache należy ustawić opcję konfiguracji PrivateTmp=True). Aby kontrolować, jak często pamięć podręczna danych jest odświeżana/unieważniana, użyj stałej ZBX_DATA_CACHE_TTL constant .

Konfiguracja TLS

Aby skonfigurować TLS dla komunikacji między komponentami Zabbix a sejfem, dodaj certyfikat podpisany przez urząd certyfikacji (CA) do systemowego domyślnego magazynu CA. Aby użyć innej lokalizacji, określ katalog w parametrze konfiguracyjnym SSLCALocation Zabbix serwer/proxy, umieść plik certyfikatu w tym katalogu, a następnie uruchom polecenie CLI:

c_rehash .