13 Speicherung von Geheimnissen

Übersicht

Zabbix kann so konfiguriert werden, dass sensible Informationen aus einem sicheren Vault abgerufen werden. Die folgenden Secret-Management-Dienste werden unterstützt: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Secrets können zum Abrufen von Folgendem verwendet werden:

Zabbix bietet schreibgeschützten Zugriff auf die Secrets in einem Vault, wobei davon ausgegangen wird, dass die Secrets von jemand anderem verwaltet werden.

Informationen zur Konfiguration bestimmter Vault-Anbieter finden Sie unter:

Caching von geheimen Werten

Standardmäßig werden Vault-Geheimnismakrowerte vom Zabbix Server bei jeder Aktualisierung der Konfigurationsdaten abgerufen und anschließend im Konfigurations-Cache gespeichert. Der Zabbix Proxy empfängt die Werte der Vault-Geheimnismakros vom Zabbix Server bei jeder Konfigurationssynchronisierung und speichert sie in seinem eigenen Konfigurations-Cache.

Die Verschlüsselung muss zwischen Zabbix Server und Proxy aktiviert sein; andernfalls wird eine Server-Warnmeldung protokolliert.

Es ist auch möglich, zu konfigurieren, dass Makrowerte vom Zabbix Server und vom Zabbix Proxy unabhängig voneinander abgerufen werden.

Um die Aktualisierung zwischengespeicherter geheimer Werte aus einem Vault manuell auszulösen, verwenden Sie die Befehlszeilen-Option 'secrets_reload'.

Für die Zwischenspeicherung der Datenbank-Zugangsdaten des Zabbix Frontend ist das Caching standardmäßig deaktiviert, kann jedoch durch Setzen der Option $DB['VAULT_CACHE'] = true in zabbix.conf.php aktiviert werden. Die Zugangsdaten werden in einem lokalen Cache unter Verwendung des temporären Dateisystemverzeichnisses gespeichert. Der Webserver muss das Schreiben in einen privaten temporären Ordner erlauben (zum Beispiel muss für Apache die Konfigurationsoption PrivateTmp=True gesetzt sein). Um zu steuern, wie oft der Daten-Cache aktualisiert/ungültig gemacht wird, verwenden Sie die Konstante ZBX_DATA_CACHE_TTL constant .

TLS-Konfiguration

Um TLS für die Kommunikation zwischen Zabbix-Komponenten und dem Vault zu konfigurieren, fügen Sie dem systemweiten Standard-CA-Speicher ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat hinzu. Um einen anderen Speicherort zu verwenden, geben Sie das Verzeichnis im Zabbix-Konfigurationsparameter SSLCALocation für server/proxy an, legen Sie die Zertifikatsdatei in diesem Verzeichnis ab und führen Sie dann den CLI-Befehl aus:

c_rehash .