Как мы захотели автоматизировать Vault CE и во что его в итоге превратили

Когда из-за пандемии разорвались цепочки поставок, в компании не смогли приобрести Enterprise-версию HashiCorp Vault, то принялись кастомизировать Community Edition (CE). Главной задачей была автоматизация: более 400 команд, в каждой по несколько типов сотрудников (разработчик, тестировщик, админ, менеджер), и каждому нужен тот доступ, который подразумевает руководитель команды. И это не учитывая создания политик для различных сервисных учеток, токенов, ролей и так далее. Все это должно создаваться практически моментально по хотелкам команды. Однако оказалось, что Vault CE дает еще массу возможностей для кастомизаций. В итоге этот инструмент стал не только автоматизированным, но еще и многопользовательским, а также значительно более эффективным хранилищем секретов.

Михаил расскажет, как они разграничили права доступа внутри сервиса и как реализовали двухфакторную аутентификацию. Как они анализируют логи для эффективности сервиса (сбор количества аутентификаций пользователей и последующая блокировка при большой активности) и для безопасности, с постоянным анализом на инъекции. А также что они сделали с unseal-ключами, и как теперь админы админят сам сервис. И кроме того — что еще намерены допилить (и уже пилят!) в CE Vault в ближайшее время.