Хранилища секретов

Аутентификационная информация (секрет) для подключения к резервируемым ресурсам чаще всего хранится в файлах настроек модулей. Если файлы настроек недостаточно защищены или система, в которой они располагаются, скомпрометирована, третьи лица могут получить доступ к резервируемым ресурсам.

Безопаснее использовать стороннее решение по управлению секретами (хранилище секретов).

Если модуль настроен на использование хранилища секретов, то сервер RuBackup по запросу клиента (модуля) обращается к хранилищу секретов, получает данные и передает их клиенту.

Секрет на сервере RuBackup «привязан» к клиенту.

Взаимодействие клиента, сервера и хранилища секретов
Рисунок 1. Взаимодействие клиента, сервера и хранилища секретов

Хранилищем секретов управляет заказчик — выпускает сертификаты, токены доступа и другие артефакты. Рекомендуем подключение к хранилищу секретов по HTTPS.

RuBackup совместим с хранилищами секретов:

  • HashiCorp Vault,

  • Deckhouse Stronghold.

Управление доступом к аутентификационной информации в хранилище секретов возможно с помощью консольной утилиты rb_secret_storage.

Информацию о поддержке модулем хранилища секретов см. в документации модуля.