Підсистема управління секретами та шифруванням

Загальний опис

Підсистема безпечного зберігання чутливої інформації та контролю доступу до токенів, паролів, сертифікатів та ключів шифрування Платформи та Реєстрів.

Функції підсистеми

Зберігання токенів, паролів, сертифікатів
Надання підсистемі моделювання регламенту реєстру ключів шифрування
Контроль доступу до чутливої інформації збереженої в підсистемі

Технічний дизайн підсистеми

Підсистема управління секретами та шифруванням складається з сервісу управління секретами та шифруванням HashiCorp Vault.

Коли сервер Vault запускається, він завжди знаходиться в запечатаному (sealed) стані та не може розшифрувати дані що зберігаються в ньому. Перед виконанням будь-якої операції з Vault, його необхідно розпечатати (unseal) створивши основний ключ, необхідний для розшифрування шифрувального ключа. Детальніше Seal/Unseal.

В Платформі HashiCorp Vault розпечатується автоматично та для виконання цієї операції використовує Сервіс управління секретами Платформи підсистеми обслуговування Платформи що виступає в ролі Transit Engine. Детальніше про операцію auto-unseal with transit engine.

Складові підсистеми

Назва компоненти Namespace Deployment Походження Репозиторій Призначення

Назва компоненти	Namespace	Deployment	Походження	Репозиторій	Призначення
Сервіс управління секретами та шифруванням	`hashicorp-vault`	`hashicorp-vault`	3rd-party	github:/epam/edp-ddm-platform-vault	Інструмент для безпечного управління секретами та захисту доступу до конфіденційної інформації в обчислювальних середовищах.

Сервіс управління секретами та шифруванням

hashicorp-vault

3rd-party

github:/epam/edp-ddm-platform-vault

Інструмент для безпечного управління секретами та захисту доступу до конфіденційної інформації в обчислювальних середовищах.

Технологічний стек

HashiCorp Vault

Атрибути якості підсистеми

Security

Підсистема використовує стійкі алгоритми шифрування для зберігання чутливих даних та реалізує надійний контроль доступу для них.

Scalability

Підсистема розроблена з урахуванням горизонтального та вертикального масштабування, що дозволяє враховувати зростаючі навантаження та реагувати на них. Підсистема підтримує масштабування що забезпечується Платформою оркестрації контейнерів.

Детальніше можна ознайомитись в розділі Платформа оркестрації контейнерів

Observability

Підсистема записує детальну інформацію про спроби аутентифікації, отримання секретів та інші операції, що дозволяє дотримуватися вимог відповідності.

Також, підсистема управління користувачами та ролями підтримує журналювання вхідних запитів та збір метрик продуктивності для подальшого аналізу через веб-інтерфейси відповідних підсистем Платформи.

Детальніше з дизайном підсистем можна ознайомитись у відповідних розділах: