13 Stockage des secrets
Aperçu
Zabbix peut être configuré pour récupérer des informations sensibles depuis un coffre-fort sécurisé. Les services de gestion des secrets suivants sont pris en charge : HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.
Les secrets peuvent être utilisés pour récupérer :
- les valeurs de macros utilisateur
- les identifiants d’accès à la base de données
Zabbix fournit un accès en lecture seule aux secrets dans un coffre-fort, en partant du principe que les secrets sont gérés par quelqu’un d’autre.
For information about specific vault provider configuration, see:
Mise en cache des valeurs secrètes
Par défaut, les valeurs des macros secrètes du coffre-fort sont récupérées par le serveur Zabbix à chaque actualisation des données de configuration, puis stockées dans le cache de configuration. Le proxy Zabbix reçoit les valeurs des macros secrètes du coffre-fort depuis le serveur Zabbix à chaque synchronisation de la configuration et les stocke dans son propre cache de configuration.
Le chiffrement doit être activé entre le serveur Zabbix et le proxy ; sinon, un message d’avertissement du serveur est consigné dans le journal.
Il est également possible de configurer la récupération indépendante des valeurs de macros par le serveur Zabbix et le proxy Zabbix.
Pour déclencher manuellement l’actualisation des valeurs secrètes mises en cache depuis un coffre-fort, utilisez l’option de ligne de commande 'secrets_reload'.
Pour les identifiants de base de données du frontend Zabbix, la mise en cache est désactivée par défaut, mais peut être activée en définissant l’option $DB['VAULT_CACHE'] = true dans zabbix.conf.php. Les identifiants seront stockés dans un cache local à l’aide du répertoire de fichiers temporaires du système de fichiers. Le serveur web doit autoriser l’écriture dans un dossier temporaire privé (par exemple, pour Apache, l’option de configuration PrivateTmp=True doit être définie). Pour contrôler la fréquence d’actualisation/invalidation du cache de données, utilisez la constante ZBX_DATA_CACHE_TTL.
Configuration TLS
Pour configurer TLS pour la communication entre les composants Zabbix et le coffre-fort, ajoutez un certificat signé par une autorité de certification (CA) au magasin CA par défaut du système.
Pour utiliser un autre emplacement, indiquez le répertoire dans le paramètre de configuration SSLCALocation du serveur/proxy Zabbix, placez le fichier de certificat dans ce répertoire, puis exécutez la commande CLI :
c_rehash .