#hashicorp_vault — Public Fediverse posts

Даёшь самоуправление! Управляем конфигурацией HashiСorp Vault изнутри, опираясь на Git и кворум подписей

При управлении доступом в HashiCorp Vault есть выбор: делать это либо супербезопасно, но неудобно, либо удобно, но с риском компрометации секретов. В первом случае вы отзываете root-токен после инициализации хранилища и для каждого изменения конфигурации собираете кворум владельцев Shamir-ключей. Во втором — применяете конфигурацию через CI/CD или из-под администратора, и тогда где-то обязательно существует «кольцо всевластия»: токен или пароль, компрометация которого даёт полный контроль над инфраструктурой секретов. Мы решили объединить безопасность и удобство в одном решении. Взяли идею кворума и привычный инженерному сообществу способ аудита изменений — коммиты в Git. Что получилось — читайте под катом. Cпойлер: вы сможете использовать это решение бесплатно.

https://habr.com/ru/companies/flant/articles/1014914/

#deckhouse_stronghold #hashicorp_vault #hashicorp_terraform #gitops #secrets #secretsmanagement #плагин

Добавляем паранойи: двойное шифрование секретов

Кажется, что в продвинутых системах хранения секретов ваши ключи, пароли, сертификаты и токены в безопасности по умолчанию. Однако на практике это не совсем так, и всё зависит от среды исполнения. Например, если случайно — или не случайно — сделать снапшот памяти виртуальной машины в правильный момент, то из него можно получить доступ не только к конкретному секрету, а вообще ко всем секретам в системе. В статье мы расскажем про механизм дополнительной защиты, который нивелирует эту проблему безопасности. С ним даже при утечке ключа шифрования ваши данные остаются зашифрованными и недоступными злоумышленнику.

https://habr.com/ru/companies/flant/articles/962466/

#hashicorp_vault #deckhouse_stronghold #seal_wrap #secretsmanagement #secrets

Успех секрета: как доставлять секреты в приложения безопасно и без головной боли

Мы видели много инфраструктур и встречали самые разные способы доставки секретов в приложения, развёрнутые в кластерах Kubernetes. Но ни один из этих способов не был одновременно удобным и по-настоящему безопасным. В статье расскажем про существующие варианты, посмотрим на их плюсы и минусы и поделимся тем, как мы решали задачу доставки секретов в Deckhouse Kubernetes Platform.

https://habr.com/ru/companies/flant/articles/932862/

#deckhouse_stronghold #hashicorp_vault #секреты #безопасность #kubernetes #devops

OpenBao: немного enterprise'ных возможностей при управлении секретами

С момента смены лицензирования Hashicorp Vault утекло много времени и с момента появления проекта OpenBao, мы регулярно следили за его судьбой. Несколько дней назад завезли enterprise-функционал, который доступен безвозмездно. И хотелось бы поделиться этой информацией с сообществом Съесть еще этих мягких булок

https://habr.com/ru/articles/923672/

#vault #openbao #управление_секретами #Секреты_в_Kuberrnetes #hashicorp_vault

Новые возможности менеджера секретов Deckhouse Stronghold: пространства имён, резервные копии и репликация данных

После ухода HashiCorp с российского рынка многие компании стоят перед выбором: переехать на Community-редакцию Vault и дорабатывать её под свои потребности или купить готовый продукт, где многие фичи доступны «из коробки» и есть поддержка от разработчиков. В этом году мы добавили в свой менеджер секретов Deckhouse Stronghold привычный пользователям Vault функционал: от пространств имён до автоматических бэкапов и репликации KV-хранилищ. В статье сравниваем реализацию этих возможностей в обоих продуктах и делимся ближайшими планами по развитию Stronghold.

https://habr.com/ru/companies/flant/articles/911450/

#hashicorp_vault #deckhouse_stronghold #безопасность #секреты #devops

Как мы помогли Piklema Predictive создать надежную и масштабируемую IT-инфраструктуру

Piklema Predictive — российская компания, разрабатывающая решения для оптимизации горного производства через анализ данных диспетчеризации, цифровые советчики, MES-систем и планирования. За 4 года сотрудничества AvantIT выполнил три миграции их инфраструктуры между облаками (Azure → AWS → GCP → Azure), внедрил Kubernetes и настроил мониторинг, что позволило клиентам Piklema снизить затраты на производство на 15–20%. Проблема: Piklema столкнулась с двумя критичными ограничениями. Во-первых, их инфраструктура на Docker Compose не обеспечивала отказоустойчивость, требуемую промышленными заказчиками. Во-вторых, зависимость от грантов вынуждала ежегодно менять облачного провайдера, что приводило к ручным миграциям длительностью до 2 месяцев. Отсутствие мониторинга усугубляло риски: о нехватке ресурсов (например, места на диске) узнавали только после сбоев. Цель проекта: Создать гибкую, отказоустойчивую инфраструктуру, которую относительно просто переносить между облаками при завершении гранта. Она должна...

https://habr.com/ru/articles/903564/

#Миграция_между_облаками #Kubernetes #Terraform #Ansible #cicd #Hashicorp_Vault #GitOps #ArgoCD #high_availability

Репликация KV1/KV2 в Deckhouse Stronghold: как добиться идентичности секретов

Мы добавили в Deckhouse Stronghold механизм репликации для хранилищ KV1/KV2, который позволяет автоматически и централизованно синхронизировать секреты в распределённых и облачных системах. Под катом погружаемся в техническую реализацию репликации и рассказываем, какие сложности преодолели в процессе.

https://habr.com/ru/companies/flant/articles/891624/

#хранение_секретов #hashicorp_vault #stronghold #deckhouse #безопасность_данных

Как организовать безопасное хранение секретов в Docker: лучшие практики

Хей, Хабр! Секреты — это такая щекотливая тема, из‑за которой у безопасников начинаются нервные подёргивания глаза. Вроде бы «просто пароль» или «просто токен», но в 2025 году мы уже знаем, что просто в безопасности — это верная дорога к утечкам и ночным обкаткам плана B. В этой статье поговорим, как правильно хранить секреты в Docker‑контейнерах и окрестностях, а заодно разберёмся, чем могут помочь Docker Secrets, HashiCorp Vault и компания.

https://habr.com/ru/articles/872128/

#Docker #безопасность #секреты #hashicorp_vault #Docker_Secrets #BuildKit #kubernetes #контейнеризация #devops #хранение_данных

Как организовать безопасное хранение секретов в Docker: лучшие практики

Хей, Хабр! Секреты — это такая щекотливая тема, из‑за которой у безопасников начинаются нервные подёргивания глаза. Вроде бы «просто пароль» или «просто токен», но в 2025 году мы уже знаем, что просто в безопасности — это верная дорога к утечкам и ночным обкаткам плана B. В этой статье поговорим, как правильно хранить секреты в Docker‑контейнерах и окрестностях, а заодно разберёмся, чем могут помочь Docker Secrets, HashiCorp Vault и компания.

https://habr.com/ru/articles/872128/

#Docker #безопасность #секреты #hashicorp_vault #Docker_Secrets #BuildKit #kubernetes #контейнеризация #devops #хранение_данных

Как организовать безопасное хранение секретов в Docker: лучшие практики

Хей, Хабр! Секреты — это такая щекотливая тема, из‑за которой у безопасников начинаются нервные подёргивания глаза. Вроде бы «просто пароль» или «просто токен», но в 2025 году мы уже знаем, что просто в безопасности — это верная дорога к утечкам и ночным обкаткам плана B. В этой статье поговорим, как правильно хранить секреты в Docker‑контейнерах и окрестностях, а заодно разберёмся, чем могут помочь Docker Secrets, HashiCorp Vault и компания.

https://habr.com/ru/articles/872128/

#Docker #безопасность #секреты #hashicorp_vault #Docker_Secrets #BuildKit #kubernetes #контейнеризация #devops #хранение_данных

Как организовать безопасное хранение секретов в Docker: лучшие практики

Хей, Хабр! Секреты — это такая щекотливая тема, из‑за которой у безопасников начинаются нервные подёргивания глаза. Вроде бы «просто пароль» или «просто токен», но в 2025 году мы уже знаем, что просто в безопасности — это верная дорога к утечкам и ночным обкаткам плана B. В этой статье поговорим, как правильно хранить секреты в Docker‑контейнерах и окрестностях, а заодно разберёмся, чем могут помочь Docker Secrets, HashiCorp Vault и компания.

https://habr.com/ru/articles/872128/

#Docker #безопасность #секреты #hashicorp_vault #Docker_Secrets #BuildKit #kubernetes #контейнеризация #devops #хранение_данных

Безопасная миграция данных из Vault одной командой

Представьте, что у вас есть Vault и нужно перенести данные из него в другое хранилище. Например, из одного закрытого контура в другой на обычной флешке. Или из одного backend storage в другой. Причём перенести нужно безопасно, не расшифровывая данные в процессе и не раскрывая секреты. В этой статье мы расскажем, как решаем такие задачи в Deckhouse Stronghold — нашем решении для управления жизненным циклом секретов.

https://habr.com/ru/companies/flant/articles/869290/

#vault #секреты #безопасность #deckhouse #hashicorp_vault

AWX: упрощаем работу с Ansible

Привет, на связи Ксения Кузьменко, DevOps-инженер департамента по организации выпуска продуктов YADRO. Наша DPS-команда предоставляет платформенные сервисы для 40+ команд и 1000+ пользователей внутри компании. Мы работаем с сотнями виртуальных машин в различных локациях. Каждый день прогоняем более 250 плейбуков, из них часть связаны между собой в сложные последовательности. Конечно, инструмент для упрощения работы с Ansible был в нашей дорожной карте еще на этапе планирования. Почему мы выбрали AWX, какие задачи решили и приятные «плюшки» получили, я расскажу в статье. О некоторых подводных камнях — тоже. Нужен ли AWX в вашей команде? На этот вопрос вы ответите сами, прочитав текст под катом. Я максимально подробно описала наш опыт с Ansible AWX. Если появятся вопросы — пишите в комментариях, отвечу.

https://habr.com/ru/companies/yadro/articles/866402/

#ansible #awx #devops #netbox #hashicorp_vault #restapi #webhook #rbac

Господин сенатор, шаттл подан: как мы переносим тысячи секретов в StarVault за секунды

Казалось бы, простая задача: перенести секреты между хранилищами Vault. Но на практике возникают сложности. И их столько, что мы в Orion soft разработали свою утилиту для миграции – StarVault Shuttle. В этой статье я расскажу, почему мы остановились на таком решении и как работает наша утилита. Также поговорим про подводные камни миграции через бэкапы и обсудим другие задачи «переезда» на новый Vault, например, необходимость «уборки» в хранилище.

https://habr.com/ru/companies/orion_soft/articles/840822/

#starvault #hashicorp_vault #vault #секреты #миграция_данных #безопасность #orion_soft #импортозамещение

Как мы управляем секретами в Банки.ру: Vault HashiCorp и мечта об одной безопасной кнопке

Привет! Меня зовут Лев, я руководитель интеграционной разработки в финансовом маркетплейсе Банки.ру. Больше года назад мы начали переход на микросервисную архитектуру. Секретов становилось всё больше: пароли, токены, сертификаты, ключи. А управлять ими было всё сложнее. Количество команд давно перевалило за несколько десятков, а интеграций с партнерами, которые также защищены секретами, — за сотню. Перед нами появилась задача выстроить удобную и безопасную структуру хранения и управления секретами. В этой статье поделюсь нашим опытом и расскажу: 1. В чем заключалась проблема в управлении секретами, как мы её решили и как могли бы улучшить этот процесс. 2. Какие способы хранения секретов существуют и как их можно интегрировать. 3. Как можно реализовать хранение через Vault. 4. Что такое политики доступа и как они применяются к структурам секретов. 5. Варианты реализации, которые наилучшим образом подходят для нашей конкретной ситуации.

https://habr.com/ru/companies/banki/articles/831510/

#vault #hashicorp #hashicorp_vault #секреты

Корпоративное хранилище секретов StarVault — первая в России полноценная альтернатива HashiCorp Vault

Vault — самое популярное в мире корпоративное хранилище секретов. С 2023 года его практически невозможно использовать в российских компаниях с сохранением лицензионной чистоты из-за новых политик лицензирования его разработчика, британской компании Hashicorp. Мы сами применяем Vault в собственных продуктах, и в 2023 году нам пришлось решать эту проблему для себя и всех, кого это касается в России. На основе материнского решения от Hashicorp мы сделали публичный продукт, аналог Vault, позволяющий компаниям соблюдать лицензионную чистоту, с поддержкой от отечественного вендора, безопасный с точки зрения размещения кодовой базы в РФ и контроля безопасности компонентов. В общем, встречайте полноценную альтернативу Hashicorp Vault, StarVault от Orion soft .

https://habr.com/ru/companies/orion_soft/articles/812633/

#StarVault #hashicorp_vault #импортозамещение #безопасность #vault #orion_soft

Hashicorp Vault — собираем непрямую репликацию через ведро

Hashicorp Vault - прекрасный продукт для централизованного хранения всех паролей и других секретов компании. При этом, многие знают, что удобная ключница - это идеальный способ потерять все ключи одновременно. Когда я работал в крупном телекоме, то DRP-протоколы с восстановлением данных учитывали даже запрет на сбор более двух Хранителей Ключей в одном месте. Чисто на случай очень неудачного корпоратива с совместным полетом на воздушном шаре, дегустацией домашних грибов или другими подобными факторами. Короче, если вы внедряете подобную систему, то вам надо очень внимательно подходить не только к вопросам эксплуатации, но и резервного копирования и восстановления. Сегодня я не буду глубоко касаться темы организации правильного хранения фрагментов ключей Шамира. Вместо этого, я попробую рассказать о том, как развернуть с нуля отказоустойчивый кластер Hashicorp Vault в community edition. Для этого поднимем основной и тестовый кластер Vault в нескольких регионах и датацентрах. Тестовый кластер у нас одновременно будет служить и резервным в рамках процедуры DRP. Чтобы было совсем интересно, настроим процесс таким образом, чтобы тестовый кластер был односторонней репликой продуктивного с отставанием в несколько суток. Разумеется, все развертывание мы будем проводить в парадигме Infrastructure-as-a-code с Terraform и Ansible в качестве основных инструментов. Сейчас расскажу, когда это может пригодиться и какими ansible-модулями можно для этого воспользоваться. Сразу предупреждаю - это будет лонгрид, так как я не люблю разбивать на кучу мелких постов единый туториал.

https://habr.com/ru/companies/wiseops/articles/793476/

#hashicorp #hashicorp_vault #ansible #terraform #iac #infrastructureasacode #безопасность #мы_все_немного_параноики #tutorial

От Kubernetes в мечтах к Kubernetes в проде. Часть 4. Хранилище секретов ― HCP Vault

В серии статей по теме DevOps мы вместе с Lead DevOps инженером департамента информационных систем ИТМО Михаилом Рыбкиным рассказываем о проверенных инструментах выстраивания инфраструктуры, которыми с недавнего времени пользуемся сами. В предыдущих статьях мы уже рассмотрели предпосылки перехода на новую инфраструктуру, познакомились с азами Kubernetes и обсудили методы доставки кода. В рамках последней темы мы пришли к методологии GitOps, при которой конфигурация кластера описана декларативно и есть ровно один источник правды ― git с его историей версий и т. д. Но git не является достаточно доверенной средой для хранения секретов ― с его помощью мы не смогли бы обеспечить разделение доступов и т. п. Так что в следующей статье цикла мы рассказываем о том, как можно реализовать отдельное хранилище секретов, без которого полноценно перейти на GitOps невозможно.

https://habr.com/ru/companies/spbifmo/articles/790150/

#итмо #devops #kubernetes #системное_администрирование #gitops #hashicorp_vault