13 Armazenamento de segredos
Visão geral
O Zabbix pode ser configurado para recuperar informações confidenciais de um cofre seguro. Os seguintes serviços de gerenciamento de segredos são suportados: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Os segredos podem ser usados para recuperar:
- valores de macro de usuário
- credenciais de acesso ao banco de dados
O Zabbix fornece acesso somente leitura aos segredos em um cofre, assumindo que os segredos sejam gerenciados por outra pessoa.
Para obter informações sobre a configuração de um provedor de cofre específico, consulte:
Cache de valores secretos
Os valores de macro de segredo do Vault são recuperados pelo server do Zabbix a cada atualização dos dados de configuração e, em seguida, armazenados no cache de configuração. O proxy do Zabbix recebe os valores das macros de segredo do Vault do server do Zabbix em cada sincronização de configuração e os armazena em seu próprio cache de configuração.
A criptografia deve estar habilitada entre o server do Zabbix e o proxy; caso contrário, uma mensagem de aviso do server será registrada.
Para acionar manualmente a atualização dos valores secretos em cache de um vault, use a opção de linha de comando 'secrets_reload' option.
Para o frontend do Zabbix, o cache das credenciais do banco de dados está desabilitado por padrão, mas pode ser habilitado definindo a opção $DB['VAULT_CACHE'] = true em zabbix.conf.php. As credenciais serão armazenadas em um cache local usando o diretório de arquivos temporários do sistema de arquivos. O servidor web deve permitir gravação em uma pasta temporária privada (por exemplo, para o Apache, a opção de configuração PrivateTmp=True deve ser definida). Para controlar com que frequência o cache de dados é atualizado/invalido, use a constant ZBX_DATA_CACHE_TTL.
Configuração de TLS
Para configurar TLS para a comunicação entre os componentes do Zabbix e o vault, adicione um certificado assinado por uma autoridade certificadora (CA) ao armazenamento padrão de CA do sistema.
Para usar outro local, especifique o diretório no parâmetro de configuração SSLCALocation do Zabbix server/proxy,
coloque o arquivo de certificado dentro desse diretório e, em seguida, execute o command da CLI:
c_rehash .