Vault - Architecture
Description
Vault sécurise, stocke et contrôle étroitement l'accès aux jetons, aux mots de passe, aux certificats, aux clés API et aux autres secrets de l'informatique moderne.
Il est hautement disponible car il est hébergé sur trois VM, chacune d'entre elles se trouvant dans une zone de disponibilité différente.
Architecture
Topologies
| Région | Area | Zone de disponibilité A | Zone de disponibilité B | Zone de disponibilité C |
|---|---|---|---|---|
EB | EB-EMEA | |||
EB | EB-HDS | |||
ET | ET-EMEA | |||
ET | ET-HDS |
Résilience
Répartition des nœuds par zone de disponibilité :
| Zone de disponibilité A | Zone de disponibilité B | Zone de disponibilité C | |
|---|---|---|---|
Nœud 1 | |||
Nœud 2 | |||
Nœud 3 |
Fonctionnalités
Cette section liste les fonctionnalités disponibles pour le client, ainsi que la manière de les demander ou de les exécuter :
Libre-service | Le client peut effectuer une action de manière autonome. |
Sur demande | Le client peut en faire la demande auprès de l'équipe support de cegedim.cloud. |
| Fonctionnalités | Libre-service | Sur demande | Commentaires |
|---|---|---|---|
Accès SSH | L'accès SSH est désactivé et réservé aux administrateurs de cegedim.cloud. | ||
Accès à l'API | Les clients peuvent utiliser Vault via des appels API | ||
Accès HTTPS | Les clients peuvent utiliser Vault via HTTPS WebUI |
Ressources
Chacun des trois nœuds possède les caractéristiques matérielles suivantes : 2 CPU, 4 Go de RAM et 90 Go de disque SSD.
Diagramme
Sécurité
Authentification
Le PaaS Vault est disponible sur HTTPS en utilisant les comptes d'administration. Cela garantit une authentification centralisée.
Autorisations
Par défaut, il existe deux rôles :
l'administrateur sécurité, qui dispose d'un accès complet en lecture sur les clusters Vault.
l'administrateur du cluster, qui peut :
Lire le bilan de santé du système
Activer et gérer les méthodes d'authentification dans Vault
Créer et gérer des politiques ACL dans Vault, sauf sur les politiques cluster_admin et security_admin.
Activer et gérer les clés/valeurs des secrets/paths.
Activer et gérer le moteur de secrets
Gérer les identités
Transport sécurisé
Tout le trafic est envoyé par HTTPS. Aucune donnée n'est envoyée en clair.
Management des logs
Vault dispose de deux types de logs : les logs opérationnels du serveur Vault et les logs d'audit. Les logs d'audit enregistrent chaque demande faite à Vault ainsi que la réponse envoyée par Vault.
Les logs du serveur sont des logs opérationnels qui donnent un aperçu de ce que le serveur fait en interne et en arrière-plan pendant l'exécution de Vault.
Les dispositifs d'audit sont activés et les logs de sortie sont stockés dans le fichier /var/log/vault/vault_audit.log. Les serveurs de Vault reçoivent l'application UF_ALL_IT-vault qui envoie les fichiers de logs à Splunk par syslog, dans l'index vault et applique le sourcetype vault.
Emplacement des données
Les données sont situées dans EB ou ET, en fonction du DC choisi par le client lors de la commande du cluster Vault.
Politiques
Cette section énumère les politiques de gestion :
| Politiques | Défaut | Enforcé | Commentaires |
|---|---|---|---|
TTL | 30 minutes | ||
HA | ha-mode configuré à ALL |
Un ticket devra être créé pour modifier ces politiques.
Mots de passe
Il n'y a qu'un seul compte intégré en cas d'urgence. C'est le root token et il a tous les droits sur le cluster Vault.
Il est stocké en toute sécurité dans le serveur Vault de transit et toute utilisation du root token déclenche une alerte dans le SIEM.
Surveillance
cegedim.cloud fournit une surveillance de base sur la mémoire, le CPU, le réseau et l'espace disque.
Les surveillances personnalisées suivantes ont été ajoutées dans Centreon :
| Nom du serveur | Nom du service | Les conditions de succès |
|---|---|---|
Toutes les URL Vault | TLS_HTTPS_CONNECT | HTTP OK : Le statut de la ligne correspond à "200,301,302,303,401,403,429" |
Tous les serveurs Vault | APP_VAULT_HEALTH | HTTP OK : Le statut de la ligne correspond à "200,429" |
Dernière mise à jour
