13 Conservazione dei segreti
Panoramica
Zabbix può essere configurato per recuperare informazioni sensibili da un vault sicuro. Sono supportati i seguenti servizi di gestione dei segreti: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
I segreti possono essere utilizzati per recuperare:
- valori delle macro utente
- credenziali di accesso al database
Zabbix fornisce accesso in sola lettura ai segreti in un vault, presupponendo che i segreti siano gestiti da qualcun altro.
For information about specific vault provider configuration, see:
Cache dei valori segreti
Per impostazione predefinita, i valori delle macro segrete del vault vengono recuperati da Zabbix server a ogni aggiornamento dei dati di configurazione e quindi memorizzati nella cache di configurazione. Zabbix proxy riceve i valori delle macro segrete del vault da Zabbix server a ogni sincronizzazione della configurazione e li memorizza nella propria cache di configurazione.
La crittografia deve essere abilitata tra Zabbix server e proxy; in caso contrario viene registrato un messaggio di avviso del server.
È inoltre possibile configurare che i valori delle macro vengano recuperati in modo indipendente da Zabbix server e Zabbix proxy.
Per attivare manualmente l'aggiornamento dei valori segreti memorizzati nella cache da un vault, utilizzare l'opzione da riga di comando 'secrets_reload'.
Per le credenziali del database di Zabbix frontend, la cache è disabilitata per impostazione predefinita, ma può essere abilitata impostando l'opzione $DB['VAULT_CACHE'] = true in zabbix.conf.php. Le credenziali verranno memorizzate in una cache locale utilizzando la directory dei file temporanei del filesystem. Il server web deve consentire la scrittura in una cartella temporanea privata (ad esempio, per Apache deve essere impostata l'opzione di configurazione PrivateTmp=True). Per controllare la frequenza con cui la cache dei dati viene aggiornata/invalida, utilizzare la costante ZBX_DATA_CACHE_TTL .
Configurazione TLS
Per configurare TLS per la comunicazione tra i componenti di Zabbix e il vault, aggiungere al repository CA predefinito a livello di sistema un certificato firmato da un'autorità di certificazione (CA). Per utilizzare un'altra posizione, specificare la directory nel parametro di configurazione SSLCALocation di Zabbix server/proxy, inserire il file del certificato all'interno di tale directory, quindi eseguire il comando CLI:
c_rehash .