Yandex Lockbox — сервис, который безопасно хранит ваши секреты

Вопросы защиты, хранения и контроля доступа к конфиденциальным данным актуальны для бизнеса любого масштаба, особенно если данные хранятся в облаке. В Yandex Cloud мы называем такую информацию, как пары логин-пароль, ключи сертификата сервера или ключи сервисного аккаунта в облаке, секретами.

Крупные облачные платформы разрабатывают собственные сервисы для хранения секретов, и Yandex Cloud не исключение из этого правила. В общий доступ выходит Yandex Lockbox — сервис для создания и хранения секретов с централизованным хранилищем, шифрованием, разграничением доступа и интеграцией с внешними системами с помощью gRPC и REST API.

Yandex Lockbox или сторонние решения?Yandex Lockbox или сторонние решения?

Существуют популярные опенсорс-продукты для хранения секретов, такие как HashiCorp Vault. Их можно развернуть самостоятельно в любой инфраструктуре или использовать в качестве управляемого сервиса на платформе вендора. В Yandex Cloud есть интеграция с HashiCorp Vault, с помощью которой можно развернуть Vault и использовать ключ сервиса Yandex Key Management Service для шифрования. Мы решили сравнить Yandex Lockbox и HashiCorp Vault, развёрнутый в инфраструктуре Yandex Cloud.

Стоимость использования Lockbox и VaultСтоимость использования Lockbox и Vault

Сначала сравним стоимость решений. Для Vault в Yandex Cloud есть два варианта развёртывания — на виртуальных машинах Compute Cloud и в кластере Yandex Managed Service for Kubernetes^®. Будем исходить из того, что нам нужно хранить 200 активных версий секретов и производить 200 000 операций над ними за 1 месяц.

Yandex Lockbox — отказоустойчивый сервис, поэтому и для Vault будем рассматривать отказоустойчивую инсталляцию. Согласно архитектурному гайду HashiCorp Vault, нам нужны 5 виртуальных машин в конфигурации 4 core, 8 GB RAM, 100 GB. В случае развёртывания в управляемом Kubernetes^® будут нужны 3 ноды в конфигурации 4 core, 8 GB RAM, 100 GB. Также нам потребуются Yandex Network Load Balancer и 1 ключ Yandex Key Management Service. Для сохранности данных в варианте с ВМ нужно подключить снимки диска.

Для Yandex Lockbox из всего вышеперечисленного нам может потребоваться только ключ Yandex Key Management Service.

	Vault на ВМ	Vault в Managed Kubernetes®	Yandex Lockbox
Виртуальные машины или ноды Kubernetes®	24 644 ₽	33 496,2 ₽	—
Network Load Balancer	≈1 000 ₽	≈1 000 ₽	—
Ключ Key Management Service	2,8 ₽	2,8 ₽	2,8 ₽ (опционально)
Облачные снапшоты	1 500 ₽	—	—
Стоимость хранения секретов	—	—	3 600 ₽
Стоимость 200 000 запросов	—	—	69,2 ₽
Итоговая стоимость в месяц	≈ 27 146,8 ₽	≈ 34 499 ₽	3 669,2 ₽

Итоговая стоимость хранения секретов в Lockbox — 3 669,2 рубля в месяц, тогда как минимальная сумма для конфигураций Vault на виртуальных машинах Compute Cloud и в управляемом Kubernetes^® приблизительно составит 27 146,8 рубля и 34 499 рублей.

Обеспечение безопасности Lockbox и VaultОбеспечение безопасности Lockbox и Vault

Yandex Cloud берёт на себя обеспечение работоспособности и защищённости Lockbox и хранимых в нём секретов по определённому SLA. Кроме того, облачный провайдер обеспечивает защиту облачной инфраструктуры.

Физическая безопасность обеспечивается благодаря расположению аппаратных ресурсов в специально спроектированных под любую нагрузку серверных стойках. Стойки располагаются в географически распределённых ЦОД, связанных собственными каналами. Доступ в ЦОД строго регламентирован.

Защита данных клиента облачной платформы обеспечивается благодаря шифрованию на уровнях хранилища, баз данных, резервных копий и при передаче по каналам интернета.

В инфраструктуре IaaS/PaaS предусмотрено множество слоёв изоляции, в том числе изоляция серверов Yandex Cloud и управляющей сети провайдера от виртуальных сетей пользователей, изоляция трафика виртуальных сетей и разделение контуров.

SaaS-сервисы платформы Yandex Cloud отказоустойчивы, а большая часть ответственности за аспекты безопасности лежит на провайдере.

В случае развёртывания Vault на виртуальных машинах Compute Cloud или в Managed Service for Kubernetes^® облачная платформа обеспечивает безопасность и доступность своей зоны ответственности в соответствии с концепцией разделения. Всё, что непосредственно связано с безопасностью и доступностью приложения Vault, является зоной ответственности клиента.

Интеграция с другими сервисамиИнтеграция с другими сервисами

Платформа Yandex Cloud стремится обеспечить максимальную интеграцию собственных сервисов. Yandex Lockbox имеет интеграции с Yandex Key Management Service, Yandex Managed Service for Kubernetes^®, Yandex Cloud Functions и Yandex Audit Trails.

Lockbox и Key Management ServiceLockbox и Key Management Service

Интеграция Lockbox c сервисом для создания и управления ключами шифрования Key Management Service помогает легко шифровать секреты с помощью собственных ключей. При использовании Key Management Service можно также воспользоваться аппаратным модулем безопасности (HSM).

HSM — это специализированное вычислительное устройство, позволяющее выполнять криптооперации с высоким быстродействием.

HSM в Yandex Cloud поставляются производителем средств криптографической защиты информации ООО «КриптоПро». КриптоПро HSM 2.0 позволяет безопасно хранить до 500 000 секретных ключей с возможностью расширения до 20 000 000. При этом производительность составляет до 50 000 операций в секунду.

В Key Management Service можно создать ключ непосредственно в HSM, и все криптооперации с ним будут выполняться только внутри HSM. Эта возможность особенно актуальна для компаний из отрасли финансовых технологий, так как она позволяет соблюдать требования ЦБ РФ и стандарт безопасности данных платёжных карт PCI DSS.

Lockbox и секреты кластера Managed Service for Kubernetes^®Lockbox и секреты кластера Managed Service for Kubernetes^®

Вторая полезная интеграция Lockbox — синхронизация секретов Lockbox с секретами кластера Managed Service for Kubernetes^®. Существует несколько возможностей, но мы рассмотрим вариант с использованием оператора External Secrets Operator, который интегрирует внешние системы управления секретами в Kubernetes^®. External Secrets Operator на текущий момент является лидером среди опенсорс-продуктов, которые выполняют функцию синхронизации секретов. Клиенту нужно только установить External Secrets Operator из Yandex Cloud Marketplace и настроить Lockbox и кластер Managed Service for Kubernetes^®.

Lockbox и ServerlessLockbox и Serverless

Следующая интеграция будет полезна клиентам, которые используют бессерверные вычисления. Секреты Lockbox можно использовать при работе с Yandex Cloud Functions и Serverless Containers. Передача секретов осуществляется с помощью переменных окружения, защищённым способом.

Lockbox и Audit TrailsLockbox и Audit Trails

Также Lockbox интегрирован с Yandex Audit Trails — сервисом для сбора и выгрузки аудитных логов ресурсов Yandex Cloud. События аудита действий с вашими секретами будут попадать в Audit Trails автоматически. Затем события экспортируются в SIEM-систему с помощью нативных интеграций.

Vault, Lockbox и HashiCorp TerraformVault, Lockbox и HashiCorp Terraform

Основное преимущество использования HashiCorp Vault — нативная интеграция продукта с популярным инструментом для управления инфраструктурой HashiCorp Terraform и множество дополнительной функциональности для аутентификации. Но Yandex Cloud также реализовал собственный провайдер для Terraform, который позволяет работать с секретами Lockbox. При этом при передаче секретов в Terraform есть возможность не оставлять их в Terraform state. Это позволяет исключить риск компрометации секретов в репозитории. Кроме того, Yandex Lockbox позволяет удовлетворить необходимые потребности в управлении секретами в облаке и постоянно развивается, в том числе принимает запросы пользователей на новую функциональность.