Скриншот GUI Yandex Lockbox
Миграция секретов в Yandex Lockbox
Рассказываем, чем полезен сервис Yandex Lockbox и как импортировать в него секреты из Hashicorp Vault — быстро и безопасно.
7 августа 2023 г.
10 минут чтения
Один из самых частых инцидентов, связанных с безопасностью в облачной инфраструктуре, — попадание в публичный доступ учётных данных и секретов. Например, об этом говорит Google в своём отчёте за август 2023 года, а мы недавно рассказывали, как с помощью сканера ежемесячно находим почти тысячу валидных секретов в открытом доступе.
Мы рекомендуем пользователям подключать специальные сервисы для хранения секретов. С их помощью можно надёжно хранить секреты, притом в одном месте.
Как хранить секреты в облаке
Сегодня довольно популярны опенсорс‑продукты для хранения секретов: их можно развернуть самостоятельно в любой инфраструктуре или использовать в качестве управляемого сервиса на платформе вендора.
Мы разработали Yandex Lockbox. Это сервис для создания и хранения секретов с централизованным хранилищем, шифрованием, разграничением доступа и интеграцией с внешними системами с помощью gRPC и REST API.
Yandex Lockbox можно использовать для хранения секретов в облачной инфраструктуре Yandex Cloud, даже если остальные ваши данные и приложения расположены где‑то ещё. При этом обращаться к сервису Yandex Lockbox можно через API.
Вы можете использовать Yandex Lockbox независимо от того, где хранятся данные и приложения
В этой статье мы расскажем:
Важное отличие Yandex Lockbox от локально управляемых решений состоит в том, что Yandex Cloud берёт на себя обеспечение работоспособности и защищённости Yandex Lockbox и хранимых в нём секретов по определённому SLA.
Кроме того, мы обеспечиваем защиту облачной инфраструктуры:
-
Все секреты хранятся в зашифрованном виде и реплицируются в трёх зонах доступности.
-
Вы можете управлять уровнями доступа к секретам с помощью ролей.
-
Данные зашифрованы на уровнях хранилища, баз данных, резервных копий и при передаче по каналам интернета.
-
Lockbox интегрирован с другими сервисами Yandex Cloud, например с управляемыми Kubernetes® и GitLab.
Стоимость владения Yandex Lockbox может быть ниже даже по сравнению с опенсорс-решениями. Причина в том, что Yandex Lockbox потребляет меньше ресурсов облака, чем развёрнутый в сопоставимой конфигурации опенсорсный сервис. Пример такого сравнения с HashiCorp Vault вы можете найти в нашей статье.
Если у вас есть вопросы по использованию Yandex Lockbox, пишите нам, мы поможем разобраться.
Импорт секретов из HashiCorp Vault в Yandex Lockbox
Если вы работаете с Vault и хотели бы попробовать Yandex Lockbox, воспользуйтесь нашим скриптом миграции. С помощью этого скрипта можно выгрузить секреты из Vault в JSON-файл — отредактировать его, если нужно, а затем импортировать в Yandex Lockbox. При этом не важно, где находится хранилище Vault: в Yandex Cloud или где-либо ещё.