13 Almacenamiento de secretos
Resumen
Zabbix puede configurarse para recuperar información confidencial desde un almacén seguro. Se admiten los siguientes servicios de gestión de secretos: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Los secretos pueden utilizarse para recuperar:
- valores de macros de usuario
- credenciales de acceso a la base de datos
Zabbix proporciona acceso de solo lectura a los secretos en un almacén, asumiendo que los secretos son gestionados por otra persona.
Para obtener información sobre la configuración específica del proveedor de vault, consulte:
Almacenamiento en caché de valores secretos
De forma predeterminada, los valores de las macros secretas del vault son recuperados por Zabbix server en cada actualización de los datos de configuración y luego se almacenan en la caché de configuración. Zabbix proxy recibe los valores de las macros secretas del vault desde Zabbix server en cada sincronización de configuración y los almacena en su propia caché de configuración.
El cifrado debe estar habilitado entre Zabbix server y proxy; de lo contrario, se registra un mensaje de advertencia del server.
También es posible configurar que los valores de las macros sean recuperados por Zabbix server y Zabbix proxy de forma independiente.
Para activar manualmente la actualización de los valores secretos almacenados en caché desde un vault, utilice la opción de línea de comandos 'secrets_reload'.
Para las credenciales de la base de datos de Zabbix frontend, el almacenamiento en caché está deshabilitado de forma predeterminada, pero puede habilitarse estableciendo la opción $DB['VAULT_CACHE'] = true en zabbix.conf.php. Las credenciales se almacenarán en una caché local utilizando el directorio temporal de archivos del sistema. El servidor web debe permitir la escritura en una carpeta temporal privada (por ejemplo, para Apache debe establecerse la opción de configuración PrivateTmp=True). Para controlar con qué frecuencia se actualiza/invalida la caché de datos, utilice la constante ZBX_DATA_CACHE_TTL.
Configuración de TLS
Para configurar TLS para la comunicación entre los componentes de Zabbix y el vault, agregue un certificado firmado por una autoridad certificadora (CA) al almacén de CA predeterminado del sistema. Para usar otra ubicación, especifique el directorio en el parámetro de configuración SSLCALocation de Zabbix server/proxy, coloque el archivo de certificado dentro de ese directorio y luego ejecute el comando CLI:
c_rehash .