13 Przechowywanie sekretów

Przegląd

Zabbix może być skonfigurowany do pobierania poufnych informacji z bezpiecznego sejfu. Obsługiwane są następujące usługi zarządzania sekretami: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Sekrety mogą być używane do pobierania:

Zabbix zapewnia dostęp tylko do odczytu do sekretów w sejfie, zakładając, że sekretami zarządza ktoś inny.

Aby uzyskać informacje o konfiguracji konkretnego dostawcy sejfu, zobacz:

Buforowanie wartości tajnych

Domyślnie wartości makr tajnych z vault są pobierane przez serwer Zabbix przy każdym odświeżeniu danych konfiguracyjnych, a następnie zapisywane w pamięci podręcznej konfiguracji. Proxy Zabbix otrzymuje wartości makr tajnych z vault od serwera Zabbix przy każdej synchronizacji konfiguracji i zapisuje je we własnej pamięci podręcznej konfiguracji.

Między serwerem Zabbix a proxy musi być włączone szyfrowanie; w przeciwnym razie w dzienniku zostanie zapisany komunikat ostrzegawczy serwera.

Możliwe jest również skonfigurowanie, aby wartości makr były pobierane niezależnie przez serwer Zabbix i proxy Zabbix.

Aby ręcznie wymusić odświeżenie buforowanych wartości tajnych z vault, użyj opcji wiersza poleceń secrets_reload.

W przypadku poświadczeń bazy danych frontend Zabbix buforowanie jest domyślnie wyłączone, ale można je włączyć, ustawiając opcję $DB['VAULT_CACHE'] = true w pliku zabbix.conf.php. Poświadczenia będą przechowywane w lokalnej pamięci podręcznej z użyciem katalogu tymczasowych plików systemu plików. Serwer WWW musi zezwalać na zapis w prywatnym katalogu tymczasowym (na przykład w przypadku Apache należy ustawić opcję konfiguracji PrivateTmp=True). Aby kontrolować, jak często pamięć podręczna danych jest odświeżana/unieważniana, użyj stałej ZBX_DATA_CACHE_TTL constant .

Konfiguracja TLS

Aby skonfigurować TLS dla komunikacji między komponentami Zabbix a sejfem, dodaj certyfikat podpisany przez urząd certyfikacji (CA) do systemowego domyślnego magazynu CA. Aby użyć innej lokalizacji, określ katalog w parametrze konfiguracji SSLCALocation Zabbix serwer/proxy, umieść plik certyfikatu w tym katalogu, a następnie uruchom polecenie CLI command:

c_rehash .