Общие сведения о StarVault
StarVault - это инструмент для управления конфиденциальной информацией, обеспечивающий централизованное хранение и эффективное управление доступом к таким секретам, как токены, пароли, сертификаты и ключи шифрования. Этот инструмент не только гарантирует безопасное хранение чувствительных данных, но и предоставляет возможность их строгого контроля, а также автоматизации связанных процессов, повышая тем самым уровень защиты данных в целом.
Секреты представляют собой конфиденциальные данные, такие как токены, API-ключи, пароли, ключи шифрования и сертификаты, доступ к которым должен быть строго ограничен. StarVault предлагает унифицированный интерфейс для управления этими секретами, гарантируя при этом тщательный контроль за доступом и ведение детализированного журнала аудита всех операций с ними.
1. Термины и определения
Термин | Описание |
---|---|
Аутентификация в StarVault |
Процесс, в ходе которого информация, предоставленная пользователем или машиной, проверяется на соответствие внутренней или внешней системе. StarVault поддерживает множество методов аутентификации, включая GitHub, LDAP, AppRole и другие. |
Брокер аудита (audit broker) |
Используется ядром для регистрации запросов и ответов, а также распространения информации между устройствами аудита. |
Бэкенд хранилища (storage backend) |
Компонент, обеспечивающий устойчивое и надежное хранение секретов. |
Ключ распечатки |
Используется для расшифровки корневого ключа. С помощью алгоритма разделения секрета Шамира делится на фрагменты. |
Ключ шифрования (encryption key) |
Используется для защиты всех данных StarVault. Зашифрован с помощью корневого ключа. |
Корневой ключ (root key) |
Используется для защиты ключа шифрования. Зашифрован с использованием ключа распечатки. |
Политики доступа (access policies) |
Представляют собой именованные наборы правил контроля доступа (ACL) к определенным путям в системе, ограничивая или разрешая клиенту выполнять конкретные действия в рамках этих путей. |
Порог ключа (key threshhold) |
Количество фрагментов ключа распечатки, достаточное для расшифровки корневого ключа. |
Секрет |
Конфиденциальные данные, такие как токены, API-ключи, пароли, ключи шифрования и сертификаты, доступ к которым должен быть строго ограничен. |
Сервер StarVault |
Основной компонент StarVault, который обрабатывает запросы от клиентов, управляет хранилищем секретов и принимает решения по аутентификации и авторизации. |
Механизм управления секретами (secrets engine) |
Компонент, отвечающий за управление, хранение и шифрование данных. |
Устройства аудита (audit devices) |
Механизм, отслеживающий операции в системе |
Хранилище политик (policy store) |
Компонент StarVault, обеспечивающий централизованное хранение и управление политиками. |
Хранилище токенов (token store) |
Компонент StarVault, обеспечивающий централизованное хранение и управление клиентскими токенами. |
Доля ключа (key share) |
Это отдельный фрагмент ключа распечатки, полученный в результате его разделения методом разделения секрета Шамира. |
2. Общий принцип работы StarVault
StarVault применяет токенную модель аутентификации, при которой каждый токен связан с политикой, назначенной клиенту. Политики формируются на основе доступа к определенным путям в системе, ограничивая или разрешая клиенту выполнять конкретные действия в рамках этих путей. В StarVault существует возможность как ручного создания токенов и их последующего распределения среди клиентов, так и автоматического получения токенов клиентами в процессе самостоятельной аутентификации в системе.
Основной рабочий процесс StarVault состоит из четырех этапов:
-
Аутентификация.
Процесс аутентификации в StarVault представляет собой проверку подлинности клиента, в ходе которой клиент предъявляет данные, исходя из которых StarVault определяет соответствие заявленной идентичности. По завершении аутентификации с использованием выбранного метода, система генерирует токен доступа, ассоциированный с определенной политикой.
-
Проверка.
StarVault проверяет клиент на соответствие сторонним доверенным источникам, таким как Github, LDAP, AppRole и другим.
-
Авторизация.
В StarVault каждый клиент ассоциируется с определенной политикой безопасности, представляющей собой комплекс правил, которые регламентируют доступ клиента к API-эндпоинтам через токен StarVault. Политики обеспечивают декларативный механизм для управления доступом, позволяя явно указывать разрешенные и запрещенные действия и пути внутри системы StarVault.
-
Доступ.
StarVault предоставляет доступ к секретам, ключам и возможностям шифрования, выдавая токен на основе политик, связанных с идентификатором клиента. Затем клиент может использовать свой токен StarVault для будущих операций.
3. Преимущества использования StarVault
На современных предприятиях часто встречается практика, при которой учетные данные, такие как пароли, API-ключи и доступы, распределены по всей организации. Они могут храниться в нешифрованном виде в исходном коде приложений, файлах конфигурации и других незащищенных местах. Такой разрозненный подход к хранению учетных данных создает сложности в управлении доступом, затрудняя отслеживание полномочий и доступа сотрудников. Кроме того, наличие учетных данных в открытом виде значительно увеличивает риск нарушения безопасности, открывая возможности для злоумышленников как внутри, так и за пределами организации.
StarVault разработан с учетом указанных проблем. Платформа централизует учетные данные, обеспечивая их единое место хранения, что в свою очередь минимизирует вероятность несанкционированного раскрытия информации. Кроме базовых функций, StarVault гарантирует аутентификацию пользователей, приложений и систем, а также явное разрешение на доступ к ресурсам, дополнительно предоставляя журнал аудита, который систематически регистрирует и хранит записи о действиях клиентов.
Ключевыми особенностями StarVault являются:
-
Безопасное хранение секретов: Все секреты хранятся в зашифрованном виде. StarVault предоставляет различные бэкенды для хранения данных, обеспечивая гибкость в выборе подходящего хранилища.
-
Динамическое управление секретами: StarVault способен генерировать временные секреты по запросу для различных сервисов, таких как базы данных или облачные платформы, что уменьшает риски, связанные с постоянными учетными данными.
-
Управление доступом: StarVault использует политики для детального контроля над тем, кто и как может получать доступ к секретам. Это обеспечивает принцип наименьших привилегий и упрощает аудит доступа.
-
Шифрование данных: StarVault может шифровать и дешифровать данные без необходимости хранения их внутри самого StarVault, позволяя клиентам использовать его как сервис шифрования.
-
Автоматизация возобновления сертификатов: StarVault может автоматизировать процесс создания и возобновления сертификатов, что упрощает управление сертификатами и их жизненным циклом.
-
Отзыв секретов: В StarVault встроена поддержка отзыва секретов. StarVault может отзывать не только отдельные секреты, но и дерево секретов, например, все секреты, прочитанные определенным пользователем, или все секреты определенного типа. Отзыв помогает при перевыпуске ключей, а также при блокировке систем в случае вторжения.