Yandex Lockbox имеет не только преимущество в стоимости владения и набор интеграций, который будет планомерно расширяться. Сервис не нуждается в дополнительном конфигурировании и самостоятельной поддержке клиентом, а за отказоустойчивость и безопасное хранение данных отвечает облачный провайдер. Эти факторы обеспечивают низкий порог вхождения и удобство использования Lockbox.
Yandex Lockbox — сервис, который безопасно хранит ваши секреты
Рассказываем, что такое секреты, и сравниваем сервисы для их централизованного хранения на примере Yandex Lockbox и HashiCorp Vault в Yandex Cloud.
Вопросы защиты, хранения и контроля доступа к конфиденциальным данным актуальны для бизнеса любого масштаба, особенно если данные хранятся в облаке. В Yandex Cloud мы называем такую информацию, как пары логин-пароль, ключи сертификата сервера или ключи сервисного аккаунта в облаке, секретами.
Крупные облачные платформы разрабатывают собственные сервисы для хранения секретов, и Yandex Cloud не исключение из этого правила. В общий доступ выходит Yandex Lockbox — сервис для создания и хранения секретов с централизованным хранилищем, шифрованием, разграничением доступа и интеграцией с внешними системами с помощью gRPC и REST API.
Yandex Lockbox или сторонние решения?
Существуют популярные опенсорс-продукты для хранения секретов, такие как HashiCorp Vault. Их можно развернуть самостоятельно в любой инфраструктуре или использовать в качестве управляемого сервиса на платформе вендора. В Yandex Cloud есть интеграция с HashiCorp Vault, с помощью которой можно развернуть Vault и использовать ключ сервиса Yandex Key Management Service для шифрования. Мы решили сравнить Yandex Lockbox и HashiCorp Vault, развёрнутый в инфраструктуре Yandex Cloud.
Стоимость использования Lockbox и Vault
Сначала сравним стоимость решений. Для Vault в Yandex Cloud есть два варианта развёртывания — на виртуальных машинах Compute Cloud и в кластере Yandex Managed Service for Kubernetes®. Будем исходить из того, что нам нужно хранить 200 активных версий секретов и производить 200 000 операций над ними за 1 месяц.
Yandex Lockbox — отказоустойчивый сервис, поэтому и для Vault будем рассматривать отказоустойчивую инсталляцию. Согласно архитектурному гайду HashiCorp Vault
Для Yandex Lockbox из всего вышеперечисленного нам может потребоваться только ключ Yandex Key Management Service.
Vault на ВМ |
Vault в Managed Kubernetes® |
Yandex Lockbox |
|
Виртуальные машины или ноды Kubernetes® |
24 644 ₽ |
33 496,2 ₽ |
— |
Network Load Balancer |
≈1 000 ₽ |
≈1 000 ₽ |
— |
Ключ Key Management Service |
2,8 ₽ |
2,8 ₽ |
2,8 ₽ (опционально) |
Облачные снапшоты |
1 500 ₽ |
— |
— |
Стоимость хранения секретов |
— |
— |
3 600 ₽ |
Стоимость 200 000 запросов |
— |
— |
69,2 ₽ |
Итоговая стоимость в месяц |
≈ 27 146,8 ₽ |
≈ 34 499 ₽ |
3 669,2 ₽ |
Итоговая стоимость хранения секретов в Lockbox — 3 669,2 рубля в месяц, тогда как минимальная сумма для конфигураций Vault на виртуальных машинах Compute Cloud и в управляемом Kubernetes® приблизительно составит 27 146,8 рубля и 34 499 рублей.
Обеспечение безопасности Lockbox и Vault
Yandex Cloud берёт на себя обеспечение работоспособности и защищённости Lockbox и хранимых в нём секретов по определённому SLA. Кроме того, облачный провайдер обеспечивает защиту облачной инфраструктуры.
Физическая безопасность обеспечивается благодаря расположению аппаратных ресурсов в специально спроектированных под любую нагрузку серверных стойках. Стойки располагаются в географически распределённых ЦОД, связанных собственными каналами. Доступ в ЦОД строго регламентирован.
Защита данных клиента облачной платформы обеспечивается благодаря шифрованию на уровнях хранилища, баз данных, резервных копий и при передаче по каналам интернета.
В инфраструктуре IaaS/PaaS предусмотрено множество слоёв изоляции, в том числе изоляция серверов Yandex Cloud и управляющей сети провайдера от виртуальных сетей пользователей, изоляция трафика виртуальных сетей и разделение контуров.
SaaS-сервисы платформы Yandex Cloud отказоустойчивы, а большая часть ответственности за аспекты безопасности лежит на провайдере.
В случае развёртывания Vault на виртуальных машинах Compute Cloud или в Managed Service for Kubernetes® облачная платформа обеспечивает безопасность и доступность своей зоны ответственности в соответствии с концепцией разделения. Всё, что непосредственно связано с безопасностью и доступностью приложения Vault, является зоной ответственности клиента.
Интеграция с другими сервисами
Платформа Yandex Cloud стремится обеспечить максимальную интеграцию собственных сервисов. Yandex Lockbox имеет интеграции с Yandex Key Management Service, Yandex Managed Service for Kubernetes®, Yandex Cloud Functions и Yandex Audit Trails.
Lockbox и Key Management Service
Интеграция Lockbox c сервисом для создания и управления ключами шифрования Key Management Service помогает легко шифровать секреты с помощью собственных ключей. При использовании Key Management Service можно также воспользоваться аппаратным модулем безопасности (HSM).
HSM — это специализированное вычислительное устройство, позволяющее выполнять криптооперации с высоким быстродействием.
HSM в Yandex Cloud поставляются производителем средств криптографической защиты информации ООО «КриптоПро». КриптоПро HSM 2.0 позволяет безопасно хранить до 500 000 секретных ключей с возможностью расширения до 20 000 000. При этом производительность составляет до 50 000 операций в секунду.
В Key Management Service можно создать ключ непосредственно в HSM, и все криптооперации с ним будут выполняться только внутри HSM. Эта возможность особенно актуальна для компаний из отрасли финансовых технологий, так как она позволяет соблюдать требования ЦБ РФ и стандарт безопасности данных платёжных карт PCI DSS.
Lockbox и секреты кластера Managed Service for Kubernetes®
Вторая полезная интеграция Lockbox — синхронизация секретов Lockbox с секретами кластера Managed Service for Kubernetes®. Существует несколько возможностей, но мы рассмотрим вариант с использованием оператора External Secrets Operator, который интегрирует внешние системы управления секретами в Kubernetes®. External Secrets Operator на текущий момент является лидером среди опенсорс-продуктов, которые выполняют функцию синхронизации секретов. Клиенту нужно только установить External Secrets Operator из Yandex Cloud Marketplace и настроить Lockbox и кластер Managed Service for Kubernetes®.
Lockbox и Serverless
Следующая интеграция будет полезна клиентам, которые используют бессерверные вычисления. Секреты Lockbox можно использовать при работе с Yandex Cloud Functions и Serverless Containers. Передача секретов осуществляется с помощью переменных окружения, защищённым способом.
Lockbox и Audit Trails
Также Lockbox интегрирован с Yandex Audit Trails — сервисом для сбора и выгрузки аудитных логов ресурсов Yandex Cloud. События аудита действий с вашими секретами будут попадать в Audit Trails автоматически. Затем события экспортируются в SIEM-систему с помощью нативных интеграций.
Vault, Lockbox и HashiCorp Terraform
Основное преимущество использования HashiCorp Vault — нативная интеграция продукта с популярным инструментом для управления инфраструктурой HashiCorp Terraform и множество дополнительной функциональности для аутентификации. Но Yandex Cloud также реализовал собственный провайдер