Недавно на одном из проектов для телекоммуникационной компании нам пришлось дополнительно (не без помощи коллег из ИБ J) проработать вопрос безопасного использования паролей для подключении к базе данных PostgreSQL кластера Zabbix.
Прописывать пароль для доступа к базе данных в явном виде в конфигурационном файле небезопасно. В таких случаях обычно ограничиваются возможностями разграничения прав к конфигурационным файлам Zabbix на уровне операционных систем.
Но вернемся к нашей задаче. Изучив входные данные об инфраструктуре заказчика, мы сразу обратили внимание, что коллеги в сегменте ИБ уже используют решение от HashiCorp — Vault, что и стало для нас отправной точкой:
— во-первых, Zabbix отлично интегрируется с решениями от HashiCorp;
— во-вторых, у нас есть опыт работы с HashiCorp Vault.
Основной целью было обезопасить конфигурацию HA Zabbix, убрав указываемые в явном виде логины и пароли для подключения к базе данных PostgreSQL. Сделать это нужно было так, чтобы наше решение было совместимо с уже применяемым стеком на стороне заказчика.
Итак, в этом посте пройдемся по нескольким шагам:
1. Рассмотрим нашу схему работы HA Zabbix и дадим краткую характеристику данному стеку.
2. Рассмотрим предполагаемый вариант использования Vault в связке с HA Zabbix.
3. Предложим конфигурацию для данного решения.