Общие сведения о StarVault

StarVault - это инструмент для управления конфиденциальной информацией, обеспечивающий централизованное хранение и эффективное управление доступом к таким секретам, как токены, пароли, сертификаты и ключи шифрования. Этот инструмент не только гарантирует безопасное хранение чувствительных данных, но и предоставляет возможность их строгого контроля, а также автоматизации связанных процессов, повышая тем самым уровень защиты данных в целом.

Секреты представляют собой конфиденциальные данные, такие как токены, API-ключи, пароли, ключи шифрования и сертификаты, доступ к которым должен быть строго ограничен. StarVault предлагает унифицированный интерфейс для управления этими секретами, гарантируя при этом тщательный контроль за доступом и ведение детализированного журнала аудита всех операций с ними.

1. Термины и определения

Термин Описание

Аутентификация в StarVault

Процесс, в ходе которого информация, предоставленная пользователем или машиной, проверяется на соответствие внутренней или внешней системе. StarVault поддерживает множество методов аутентификации, включая GitHub, LDAP, AppRole и другие.

Брокер аудита (audit broker)

Используется ядром для регистрации запросов и ответов, а также распространения информации между устройствами аудита.

Бэкенд хранилища (storage backend)

Компонент, обеспечивающий устойчивое и надежное хранение секретов.

Ключ распечатки

Используется для расшифровки корневого ключа. С помощью алгоритма разделения секрета Шамира делится на фрагменты.

Ключ шифрования (encryption key)

Используется для защиты всех данных StarVault. Зашифрован с помощью корневого ключа.

Корневой ключ (root key)

Используется для защиты ключа шифрования. Зашифрован с использованием ключа распечатки.

Политики доступа (access policies)

Представляют собой именованные наборы правил контроля доступа (ACL) к определенным путям в системе, ограничивая или разрешая клиенту выполнять конкретные действия в рамках этих путей.

Порог ключа (key threshhold)

Количество фрагментов ключа распечатки, достаточное для расшифровки корневого ключа.

Секрет

Конфиденциальные данные, такие как токены, API-ключи, пароли, ключи шифрования и сертификаты, доступ к которым должен быть строго ограничен.

Сервер StarVault

Основной компонент StarVault, который обрабатывает запросы от клиентов, управляет хранилищем секретов и принимает решения по аутентификации и авторизации.

Механизм управления секретами (secrets engine)

Компонент, отвечающий за управление, хранение и шифрование данных.

Устройства аудита (audit devices)

Механизм, отслеживающий операции в системе

Хранилище политик (policy store)

Компонент StarVault, обеспечивающий централизованное хранение и управление политиками.

Хранилище токенов (token store)

Компонент StarVault, обеспечивающий централизованное хранение и управление клиентскими токенами.

Доля ключа (key share)

Это отдельный фрагмент ключа распечатки, полученный в результате его разделения методом разделения секрета Шамира.

2. Общий принцип работы StarVault

StarVault применяет токенную модель аутентификации, при которой каждый токен связан с политикой, назначенной клиенту. Политики формируются на основе доступа к определенным путям в системе, ограничивая или разрешая клиенту выполнять конкретные действия в рамках этих путей. В StarVault существует возможность как ручного создания токенов и их последующего распределения среди клиентов, так и автоматического получения токенов клиентами в процессе самостоятельной аутентификации в системе.

Основной рабочий процесс StarVault состоит из четырех этапов:

  • Аутентификация.

    Процесс аутентификации в StarVault представляет собой проверку подлинности клиента, в ходе которой клиент предъявляет данные, исходя из которых StarVault определяет соответствие заявленной идентичности. По завершении аутентификации с использованием выбранного метода, система генерирует токен доступа, ассоциированный с определенной политикой.

  • Проверка.

    StarVault проверяет клиент на соответствие сторонним доверенным источникам, таким как Github, LDAP, AppRole и другим.

  • Авторизация.

    В StarVault каждый клиент ассоциируется с определенной политикой безопасности, представляющей собой комплекс правил, которые регламентируют доступ клиента к API-эндпоинтам через токен StarVault. Политики обеспечивают декларативный механизм для управления доступом, позволяя явно указывать разрешенные и запрещенные действия и пути внутри системы StarVault.

  • Доступ.

    StarVault предоставляет доступ к секретам, ключам и возможностям шифрования, выдавая токен на основе политик, связанных с идентификатором клиента. Затем клиент может использовать свой токен StarVault для будущих операций.

3. Преимущества использования StarVault

На современных предприятиях часто встречается практика, при которой учетные данные, такие как пароли, API-ключи и доступы, распределены по всей организации. Они могут храниться в нешифрованном виде в исходном коде приложений, файлах конфигурации и других незащищенных местах. Такой разрозненный подход к хранению учетных данных создает сложности в управлении доступом, затрудняя отслеживание полномочий и доступа сотрудников. Кроме того, наличие учетных данных в открытом виде значительно увеличивает риск нарушения безопасности, открывая возможности для злоумышленников как внутри, так и за пределами организации.

StarVault разработан с учетом указанных проблем. Платформа централизует учетные данные, обеспечивая их единое место хранения, что в свою очередь минимизирует вероятность несанкционированного раскрытия информации. Кроме базовых функций, StarVault гарантирует аутентификацию пользователей, приложений и систем, а также явное разрешение на доступ к ресурсам, дополнительно предоставляя журнал аудита, который систематически регистрирует и хранит записи о действиях клиентов.

Ключевыми особенностями StarVault являются:

  • Безопасное хранение секретов: Все секреты хранятся в зашифрованном виде. StarVault предоставляет различные бэкенды для хранения данных, обеспечивая гибкость в выборе подходящего хранилища.

  • Динамическое управление секретами: StarVault способен генерировать временные секреты по запросу для различных сервисов, таких как базы данных или облачные платформы, что уменьшает риски, связанные с постоянными учетными данными.

  • Управление доступом: StarVault использует политики для детального контроля над тем, кто и как может получать доступ к секретам. Это обеспечивает принцип наименьших привилегий и упрощает аудит доступа.

  • Шифрование данных: StarVault может шифровать и дешифровать данные без необходимости хранения их внутри самого StarVault, позволяя клиентам использовать его как сервис шифрования.

  • Автоматизация возобновления сертификатов: StarVault может автоматизировать процесс создания и возобновления сертификатов, что упрощает управление сертификатами и их жизненным циклом.

  • Отзыв секретов: В StarVault встроена поддержка отзыва секретов. StarVault может отзывать не только отдельные секреты, но и дерево секретов, например, все секреты, прочитанные определенным пользователем, или все секреты определенного типа. Отзыв помогает при перевыпуске ключей, а также при блокировке систем в случае вторжения.