Français
cegedim.cloud ITCare API
Privacy

Vault

Description

Vault est destiné à être le référentiel unique de vos secrets, qu'il s'agisse de mots de passe, de jetons, de certificats, de clés publiques/privées, etc.

C'est vers là que vos applications et services se tourneront pour consommer les secrets dont ils ont besoin. Dites adieu aux mots de passe en clair dans vos fichiers de configuration, vos scripts ou votre code source et sécurisez votre pipeline CI/CD !

Vault fournit un chiffrement fort des secrets, une gestion des authentifications et des autorisations. La ressource peut être un utilisateur humain ou une machine.

  • Gestion des secrets

    • Centralisation des secrets dans un espace sécurisé et hautement disponible

    • Réduire les risques et respecter les normes de sécurité et les meilleures pratiques : les mots de passe ne sont plus stockés ou affichés en clair.

    • Secrets dynamiques : créer, renouveler et révoquer automatiquement des secrets à la volée.

  • Le chiffrement en tant que service

    • Cryptez vos données à la volée sans vous soucier de la gestion des clés de cryptage

    • Mise à jour et rotation faciles des clés de chiffrement

  • " API First " : tout peut être contrôlé par API, en plus de l'interface Web

  • Gestion granulaire des profils et des droits d'accès

  • Traçabilité complète des actions de l'administration et de l'accès aux secrets

Pourquoi Vault ?

Vault a pour but de répondre aux besoins suivants :

  • Partage d'informations sensibles de manière sécurisée

  • Contrôle d'accès avec possibilité de révoquer l'accès

  • Granularité via des politiques permettant de ne partager que certaines données

Il est composé de quatre services principaux :

  • Le service Storage (Consul par exemple) est l'endroit où les données persistantes et cryptées de Vault seront stockées.

  • Le service Secret permet de stocker des secrets statiques et de générer des secrets dynamiques (pour AWS, Azure ou GCP par exemple).

  • Le service Audit vous permet d'enregistrer chaque demande afin de suivre toutes les interactions avec Vault.

  • Le service Auth backend gère plusieurs méthodes d'authentification permettant à Vault d'être adaptable à tout type d'utilisation. Par exemple, nous pouvons utiliser la méthode AppRole pour authentifier les applications mais aussi GitHub pour un groupe de développeurs.

Plateforme en tant que Service

Vault est déployé on-premise dans les datacenters de cegedim.cloud.

Le même niveau de service que pour l'offre Compute est garanti : déploiement des instances, maintien en condition opérationnelle, flexibilité, sécurité et monitoring sont ainsi assurés par nos experts.

La topologie disponible est la topologie de cluster prête avec 3 nœuds répartis sur toutes les zones de disponibilité d'une zone cible. La version actuelle supportée est la version 1.8.1.

cegedim.cloud déploie Vault avec auto-unseal pour réduire la complexité opérationnelle du maintien de la sécurité de la clé d'unseal. La clé racine cryptée est stockée dans un Transit Secrets Engine à l'intérieur d'un autre cluster Vault géré exclusivement par cegedim.cloud.

Facturation

Vault est facturé mensuellement par cluster, quel que soit le nombre d'utilisateurs et le nombre de secrets stockés.

Pour connaître les coûts exacts d'un cluster Vault, veuillez contacter votre Service Delivery Manager.

PrécédentData Masking - DidacticielsSuivantVault - Architecture

Dernière mise à jour