13 Speicherung von Geheimnissen

Übersicht

Zabbix kann so konfiguriert werden, dass sensible Informationen aus einem sicheren Vault abgerufen werden. Die folgenden Secret-Management-Dienste werden unterstützt: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Secrets können zum Abrufen von Folgendem verwendet werden:

Zabbix bietet schreibgeschützten Zugriff auf die Secrets in einem Vault, wobei davon ausgegangen wird, dass die Secrets von jemand anderem verwaltet werden.

Informationen zur Konfiguration bestimmter Vault-Anbieter finden Sie unter:

Zwischenspeicherung von geheimen Werten

Standardmäßig werden Vault-Geheimnis-Makrowerte bei jeder Aktualisierung der Konfigurationsdaten vom Zabbix Server abgerufen und anschließend im Konfigurationscache gespeichert. Der Zabbix Proxy empfängt die Werte der Vault-Geheimnis-Makros bei jeder Konfigurationssynchronisierung vom Zabbix Server und speichert sie in seinem eigenen Konfigurationscache.

Zwischen dem Zabbix Server und dem Proxy muss Verschlüsselung aktiviert sein; andernfalls wird eine Warnmeldung des Servers protokolliert.

Es ist auch möglich, zu konfigurieren, dass Makrowerte vom Zabbix Server und vom Zabbix Proxy unabhängig voneinander abgerufen werden.

Um die Aktualisierung zwischengespeicherter geheimer Werte aus einem Vault manuell auszulösen, verwenden Sie die Befehlszeilen-Option secrets_reload.

Für die Datenbankanmeldedaten des Zabbix Frontend ist die Zwischenspeicherung standardmäßig deaktiviert, kann jedoch durch Setzen der Option $DB['VAULT_CACHE'] = true in zabbix.conf.php aktiviert werden. Die Anmeldedaten werden in einem lokalen Cache unter Verwendung des temporären Verzeichnisses des Dateisystems gespeichert. Der Webserver muss das Schreiben in einen privaten temporären Ordner erlauben (zum Beispiel muss für Apache die Konfigurationsoption PrivateTmp=True gesetzt sein). Um zu steuern, wie oft der Daten-Cache aktualisiert bzw. ungültig gemacht wird, verwenden Sie die Konstante ZBX_DATA_CACHE_TTL Konstante.

TLS-Konfiguration

Um TLS für die Kommunikation zwischen Zabbix-Komponenten und dem Vault zu konfigurieren, fügen Sie ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat zum systemweiten Standard-CA-Speicher hinzu. Wenn Sie einen anderen Speicherort verwenden möchten, geben Sie das Verzeichnis im Zabbix-Konfigurationsparameter SSLCALocation Server/Proxy an, legen Sie die Zertifikatsdatei in diesem Verzeichnis ab und führen Sie dann den CLI-Befehl aus:

c_rehash .