Керування секретами

🌐 Цей документ доступний українською та англійською мовами. Використовуйте перемикач у правому верхньому куті, щоб змінити версію.

1. Загальний опис

Керування секретами на Платформі включає методи та процедури для безпечного створення, зберігання та обробки конфіденційних даних, таких як паролі, ключі та інші важливі відомості. Ця практика відіграє важливу роль у гарантуванні недоступності таких даних для неуповноважених осіб, що забезпечує захист інформації, уникнення можливих витоків та підвищення довіри до безпеки платформи та її користувачів.

2. Принципи керування секретами

Безпека даних є невід’ємною частиною успішної інформаційної стратегії, особливо коли мова йде про конфіденційну інформацію, таку як паролі, ключі та інші секрети. Процес зберігання та обробки секретів на платформі включає в себе дотримання ключових принципів безпеки, що забезпечують надійний захист та запобігають витокам інформації.

Шифрування Секретів: Один із фундаментальних принципів безпеки - це використання потужних алгоритмів шифрування для захисту секретів під час їх зберігання та передачі. Шифрування зменшуює в рази ризик витоку конфіденційної інформації. При використанні шифрування важливо враховувати вибір надійних алгоритмів та правильне зберігання ключів для розшифрування.
Аутентифікація та Авторизація: Принципи аутентифікації та авторизації відіграють важливу роль у керуванні доступом до секретів. Аутентифікація перевіряє ідентичність користувача перед наданням доступу, убезпечуючи від несанкціонованого входу. Після аутентифікації, принцип авторизації визначає, які дії та дані може використовувати аутентифікований користувач. Обмеження рівня доступу до мінімально необхідних операцій та даних зменшує ризик витоку секретів через несанкціонований доступ.

Ці принципи стають опорою для надійного збереження та обробки секретів на платформі. Шифрування забезпечує конфіденційність даних, а аутентифікація та авторизація контролюють доступ і зменшують ризики незаконного використання конфіденційної інформації. Використовуючи ці принципи разом, платформа взмозі підвищити рівень безпеки та забезпечити довіру як для своїх користувачів, так і для самої системи.

3. Сховища секретів на платформі

Сховище	Опис
KeyCloak	Фреймворк ідентифікації та автентифікації. З точки зору безпеки, він надає централізований контроль доступу, можливість багаторівневої автентифікації, використовує JSON Web Tokens для безпечної передачі даних, дозволяє налаштовувати токени та взаємодіє з іншими системами для захисту облікових даних. Він забезпечує безпеку автентифікації та авторизації на платформі. В основному використовує сторонні постачальники ідентифікації але також зберігає паролі службових адміністраторів.
Hashicorp Vault	Це інструмент для забезпечення безпеки, керування секретами та захисту конфіденційної інформації на платформі. Він надає централізований підхід до збереження та керування секретами а також динамічне генерування ключів шифрування даних. В Vault використовуються важливі механізми безпеки, такі як шифрування, підписи, автентифікація та авторизація а також контроль доступу. Платформа реєстрів налічує три різні волти - Центральний, Платформений та Реєстровий, де зберігаються відповідні конфіденційні дані. Більше інформації можна знайти за посиланням
Openshift Secrets	Це механізм управління секретами в підсистемі оркестрації контейнерів, яка надає сервіс для збереження та передачі конфіденційної інформації, такої як паролі, ключі, токени та інші секрети, у безпечному способі.
AWS KMS	Це сервіс управління ключами, який надає безпечний спосіб створення та керування криптографічним матеріалом в обліковому записі AWS. Використовується з метою зберігання ключів шифрування центрального сервісу управління секретами на платформі.
HSM	Програмно-апаратний компонент, що забезпечує надійне зберігання сертифікатів та забезпечує операції з цифровим підписом та печаткою. Більше інформації можна знайти за посиланням
Istio Citadel	Відповідає за безпеку трафіку, шифрування, автентифікацію та авторизацію. Citadel створює та розповсюджує сертифікати для кожного сервісу в мережі.

Сховище

Опис

KeyCloak

Фреймворк ідентифікації та автентифікації. З точки зору безпеки, він надає централізований контроль доступу, можливість багаторівневої автентифікації, використовує JSON Web Tokens для безпечної передачі даних, дозволяє налаштовувати токени та взаємодіє з іншими системами для захисту облікових даних. Він забезпечує безпеку автентифікації та авторизації на платформі. В основному використовує сторонні постачальники ідентифікації але також зберігає паролі службових адміністраторів.

Hashicorp Vault

Це інструмент для забезпечення безпеки, керування секретами та захисту конфіденційної інформації на платформі. Він надає централізований підхід до збереження та керування секретами а також динамічне генерування ключів шифрування даних. В Vault використовуються важливі механізми безпеки, такі як шифрування, підписи, автентифікація та авторизація а також контроль доступу. Платформа реєстрів налічує три різні волти - Центральний, Платформений та Реєстровий, де зберігаються відповідні конфіденційні дані. Більше інформації можна знайти за посиланням

Openshift Secrets

Це механізм управління секретами в підсистемі оркестрації контейнерів, яка надає сервіс для збереження та передачі конфіденційної інформації, такої як паролі, ключі, токени та інші секрети, у безпечному способі.

AWS KMS

Це сервіс управління ключами, який надає безпечний спосіб створення та керування криптографічним матеріалом в обліковому записі AWS. Використовується з метою зберігання ключів шифрування центрального сервісу управління секретами на платформі.

HSM

Програмно-апаратний компонент, що забезпечує надійне зберігання сертифікатів та забезпечує операції з цифровим підписом та печаткою. Більше інформації можна знайти за посиланням

Istio Citadel

Відповідає за безпеку трафіку, шифрування, автентифікацію та авторизацію. Citadel створює та розповсюджує сертифікати для кожного сервісу в мережі.

4. Категорії Секретів

Загальна назва	Тип секретів	Сховище
Облікові дані службових адміністраторів	Паролі	KeyCloak
Секрети зовнішніх систем	Паролі, токени, конфігурація	Hashicorp Vault
Cекрети реєстрів	Облікові дані адміністраторів, токени, паролі	Hashicorp Vault
Секрети внутрішніх систем	Паролі, токени	Openshift secrets
Криппографічний матеріал	Токени, ключі відновлення, ключі шифрування даних	Hashicorp Vault, Openshift secrets/etcd, AWS KMS
Дані повязані з цифровим підписом	Цифровий підпис, печатка, сертифікати	HSM (Гряда)
Секрети міжсервісної взаємодії	Сертифікати	Istio Citadel

Загальна назва

Тип секретів

Сховище

Облікові дані службових адміністраторів

Паролі

KeyCloak

Секрети зовнішніх систем

Паролі, токени, конфігурація

Hashicorp Vault

Cекрети реєстрів

Облікові дані адміністраторів, токени, паролі

Hashicorp Vault

Секрети внутрішніх систем

Паролі, токени

Openshift secrets

Криппографічний матеріал

Токени, ключі відновлення, ключі шифрування даних

Hashicorp Vault, Openshift secrets/etcd, AWS KMS

Дані повязані з цифровим підписом

Цифровий підпис, печатка, сертифікати

HSM (Гряда)

Секрети міжсервісної взаємодії

Сертифікати

Istio Citadel

5. Процедури Створення та Управління Секретами

Сховище	Опис генерації секретів	Процес надання доступу та управління правами
KeyCloak	Секрети створюються та керуються службовими адміністраторами	Надання доступу до секретів збійснюється згідно службових повноважень на базі рольової моделі
Hashicorp Vault	Створення секретів відбувається безпосередньо при налаштуванні та створенні реєстрів та їх зовнішніх інтеграцій. Ключі розблокування та відновлення сховищь платформи та реєстрів створюються повністью автоматизовано без участі технічного адміністратора	Доступ до сховища не надається нікому окрім сервісних технічних користувачі створених для забезпечення функціонування платформи
Openshift Secrets	Секрети створюються автоматично при розгортанні платформи реєстрів	Доступ до секретів регламентується ролями та надається тільки адміністраторам платформи чи реєстру та відповідним сервісним технічним користувачам
HSM	Секрети завантажуються у сховище під час розгортання та функціонування платформи реєстрів	Доступ до програмно-апаратного модуля суворо контролюється та надається тільки технічному сервісному користувачу підсистеми цифрових підписів
AWS KMS	Створення секретів відновлення сховищ конфіденційних даних повністю автоматизовано і відбувається при розгортанні платформи реєстрів.	Доступ до секретів надається на базі рольової моделі хмарного провайдера і тільки адміністраторам середовища за нагальної потреби
Istio Citadel	Кореневий сертифікат створюються автоматично при розгортанні платформи. Довірені сервісні сертифікати створюються автоматично після створення сервісу якому дозволено приймати участь у міжсервісній взаємодії.	Доступ до адміністрування мікросервісної мережі надається тільки адміністраторам платформи та реєстрів

Сховище

Опис генерації секретів

Процес надання доступу та управління правами

KeyCloak

Секрети створюються та керуються службовими адміністраторами

Надання доступу до секретів збійснюється згідно службових повноважень на базі рольової моделі

Hashicorp Vault

Створення секретів відбувається безпосередньо при налаштуванні та створенні реєстрів та їх зовнішніх інтеграцій. Ключі розблокування та відновлення сховищь платформи та реєстрів створюються повністью автоматизовано без участі технічного адміністратора

Доступ до сховища не надається нікому окрім сервісних технічних користувачі створених для забезпечення функціонування платформи

Openshift Secrets

Секрети створюються автоматично при розгортанні платформи реєстрів

Доступ до секретів регламентується ролями та надається тільки адміністраторам платформи чи реєстру та відповідним сервісним технічним користувачам

HSM

Секрети завантажуються у сховище під час розгортання та функціонування платформи реєстрів

Доступ до програмно-апаратного модуля суворо контролюється та надається тільки технічному сервісному користувачу підсистеми цифрових підписів

AWS KMS

Створення секретів відновлення сховищ конфіденційних даних повністю автоматизовано і відбувається при розгортанні платформи реєстрів.

Доступ до секретів надається на базі рольової моделі хмарного провайдера і тільки адміністраторам середовища за нагальної потреби

Istio Citadel

Кореневий сертифікат створюються автоматично при розгортанні платформи. Довірені сервісні сертифікати створюються автоматично після створення сервісу якому дозволено приймати участь у міжсервісній взаємодії.

Доступ до адміністрування мікросервісної мережі надається тільки адміністраторам платформи та реєстрів

6. Захист Секретів

Сховище	Заходи для запобігання втрати, витоку та несанкціонованого доступу до секретів
KeyCloak	Інтерфейс керування додатково захищено мережевим контролем доступу Використовується надійний механізм автентифікації та система розмежування прав основана на ролях Процедура оновлення та використання безпечних версій програмного забезпечення Шифрування дисків з даними Резервне копіювання
Hashicorp Vault	Автентифікація на базі токенів та інтегрована з підсистемою оркестрації контейнерів Відсутність доступу до сховища у будь-якого користувача платформи Механізм транзитивного безключевого шифрування платформенного та реєстрових волтів центральним для підвищення безпеки даних та зниження ризика компрометації ключів. Механізм делегування розшифрування центрального волта хмарному сервісу керування секретами задля підвищення безпеки, зменшення ризику витоку ключів та підвищення надійності системи Реалізація розмежування прав на базі політик доступу Резервне копіювання
Openshift Secrets	Інтерфейс керування додатково захищено мережевим контролем доступу Автентифікація Шифрування сховища секретів підсистеми оркестрації контейнерів Автоматичний механізм ротації криптографічного матеріалу Реалізація рольової моделі доступу (RBAC) Резервне копіювання
HSM	Програмно-апаратний компонент Шифрування каналу звязку сеансовим ключем Механізм додаткової ідентифікації Механізм спеціальної автентифікації Механізми обмеження доступу
AWS KMS	Окрема модель ідентифікації та автентифікації Розмежування прав на базі гранульованої рольової моделі Журналювання та аудит доступу

Сховище

Заходи для запобігання втрати, витоку та несанкціонованого доступу до секретів

KeyCloak

Інтерфейс керування додатково захищено мережевим контролем доступу
Використовується надійний механізм автентифікації та система розмежування прав основана на ролях
Процедура оновлення та використання безпечних версій програмного забезпечення
Шифрування дисків з даними
Резервне копіювання

Hashicorp Vault

Автентифікація на базі токенів та інтегрована з підсистемою оркестрації контейнерів
Відсутність доступу до сховища у будь-якого користувача платформи
Механізм транзитивного безключевого шифрування платформенного та реєстрових волтів центральним для підвищення безпеки даних та зниження ризика компрометації ключів.
Механізм делегування розшифрування центрального волта хмарному сервісу керування секретами задля підвищення безпеки, зменшення ризику витоку ключів та підвищення надійності системи
Реалізація розмежування прав на базі політик доступу
Резервне копіювання

Openshift Secrets

Інтерфейс керування додатково захищено мережевим контролем доступу
Автентифікація
Шифрування сховища секретів підсистеми оркестрації контейнерів
Автоматичний механізм ротації криптографічного матеріалу
Реалізація рольової моделі доступу (RBAC)
Резервне копіювання

HSM

Програмно-апаратний компонент
Шифрування каналу звязку сеансовим ключем
Механізм додаткової ідентифікації
Механізм спеціальної автентифікації
Механізми обмеження доступу

AWS KMS

Окрема модель ідентифікації та автентифікації
Розмежування прав на базі гранульованої рольової моделі
Журналювання та аудит доступу

7. Аудит та Моніторинг

Періодичне оглядання доступу та активностей із секретами є ключовим елементом безпеки даних. Цей процес включає аудит доступу до секретів, моніторинг активностей з ними, виявлення змін і аномалій. Він допомагає вчасно виявляти незвичайні дії, запобігати можливим порушенням та забезпечувати надійний рівень безпеки даних. Наразі цей процес має виконуватись вручну адміністратором платформи.

8. Заключні положення

Ефективне керування секретами на платформі вимагає взаємодії різних стейкхолдерів, кожен з яких має свої відповідальності та обов’язки.

Організація (власник) платформи має встановити політики контролю доступу та керування секретами. Користувачі, в свою чергу, мають дотримуютись безпекових практик. Ця взаємодія забезпечує надійний захист конфіденційної інформації та зменшує ризики інцидентів з безпекою.