13 Хранение секретов

Обзор

Zabbix можно настроить на получение конфиденциальной информации из защищённого хранилища. Поддерживаются следующие службы управления секретами: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

Секреты можно использовать для получения:

Zabbix предоставляет доступ только для чтения к секретам в хранилище, предполагая, что управление секретами осуществляется кем-то другим.

Информацию о настройке конкретного поставщика хранилища секретов см. в:

Кэширование значений секретов

По умолчанию значения секретных макросов хранилища извлекаются сервером Zabbix при каждом обновлении данных конфигурации, а затем сохраняются в кэше конфигурации. Прокси Zabbix получает значения секретных макросов хранилища от сервера Zabbix при каждой синхронизации конфигурации и сохраняет их в собственном кэше конфигурации.

Между сервером Zabbix и прокси должно быть включено шифрование; в противном случае в журнал записывается предупреждающее сообщение сервера.

Также можно настроить, чтобы значения макросов извлекались сервером Zabbix и прокси Zabbix независимо друг от друга.

Чтобы вручную запустить обновление кэшированных значений секретов из хранилища, используйте параметр командной строки option 'secrets_reload'.

Для учетных данных базы данных веб-интерфейса Zabbix кэширование по умолчанию отключено, но его можно включить, установив параметр $DB['VAULT_CACHE'] = true в zabbix.conf.php. Учетные данные будут храниться в локальном кэше с использованием временного каталога файловой системы. Веб-сервер должен разрешать запись в приватную временную папку (например, для Apache должен быть установлен параметр конфигурации PrivateTmp=True). Чтобы управлять частотой обновления/инвалидации кэша данных, используйте константу ZBX_DATA_CACHE_TTL constant .

Настройка TLS

Чтобы настроить TLS для обмена данными между компонентами Zabbix и хранилищем секретов, добавьте сертификат, подписанный центром сертификации (CA), в общесистемное хранилище доверенных сертификатов CA по умолчанию.
Чтобы использовать другое расположение, укажите каталог в параметре конфигурации SSLCALocation Zabbix server/proxy, поместите файл сертификата в этот каталог, затем выполните команду CLI:

c_rehash .