Что такое HashiCorp Vault?

HashiCorp Vault — это инструмент для безопасного управления секретами, токенами, паролями, сертификатами и другими конфиденциальными данными. Vault предоставляет централизованное хранилище с детальным контролем доступа, аудитом и шифрованием данных.

Ключевые возможности Vault

Безопасное хранение секретов — шифрование и контроль доступа к конфиденциальным данным
Dynamic secrets — генерация временных учетных данных с автоматическим истечением
Encryption as a Service — API для шифрования и расшифровки данных
Identity-based access — интеграция с системами идентификации и авторизации
Audit logging — полный аудит всех операций доступа к секретам
Secret rotation — автоматическая ротация паролей и ключей
PKI управление — выпуск и управление сертификатами

Установка Vault

# Установка через пакетный менеджер
# Ubuntu/Debian
curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo apt-key add -
sudo apt-add-repository "deb [arch=amd64] https://apt.releases.hashicorp.com $(lsb_release -cs) main"
sudo apt-get update && sudo apt-get install vault

# CentOS/RHEL
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://rpm.releases.hashicorp.com/RHEL/hashicorp.repo
sudo yum -y install vault

# Или скачать бинарник
wget https://releases.hashicorp.com/vault/1.15.0/vault_1.15.0_linux_amd64.zip
unzip vault_1.15.0_linux_amd64.zip
sudo mv vault /usr/local/bin/

Запуск Vault в dev режиме

# Запуск development сервера
vault server -dev

# В другом терминале
export VAULT_ADDR='http://127.0.0.1:8200'
export VAULT_TOKEN="hvs.example-token"

# Проверка статуса
vault status

Базовые операции с секретами

# Запись секрета
vault kv put secret/myapp username=admin password=secret123

# Чтение секрета
vault kv get secret/myapp

# Получение в JSON формате
vault kv get -format=json secret/myapp

# Удаление секрета
vault kv delete secret/myapp

Конфигурация Vault для production

# vault.hcl
storage "consul" {
  address = "127.0.0.1:8500"
  path    = "vault/"
}

listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_cert_file = "/path/to/cert.pem"
  tls_key_file  = "/path/to/key.pem"
}

seal "awskms" {
  region     = "us-east-1"
  kms_key_id = "alias/vault-key"
}

ui = true
log_level = "INFO"
cluster_name = "vault-cluster"

Инициализация и распечатка Vault

# Инициализация Vault
vault operator init

# Распечатка Vault (требуется несколько ключей)
vault operator unseal <unseal-key-1>
vault operator unseal <unseal-key-2>
vault operator unseal <unseal-key-3>

# Аутентификация
vault auth <root-token>

Настройка аутентификации

# Включение LDAP аутентификации
vault auth enable ldap

# Настройка LDAP
vault write auth/ldap/config \
    url="ldap://ldap.example.com" \
    userdn="ou=Users,dc=example,dc=com" \
    groupdn="ou=Groups,dc=example,dc=com" \
    userattr=uid \
    groupattr=cn

# Включение Kubernetes аутентификации
vault auth enable kubernetes

# Настройка Kubernetes auth
vault write auth/kubernetes/config \
    token_reviewer_jwt="<service-account-jwt>" \
    kubernetes_host="https://kubernetes.example.com" \
    kubernetes_ca_cert=@ca.crt

Dynamic Secrets для базы данных

# Включение database secrets engine
vault secrets enable database

# Настройка подключения к PostgreSQL
vault write database/config/my-postgresql-database \
    plugin_name=postgresql-database-plugin \
    connection_url="postgresql://{{username}}:{{password}}@localhost:5432/postgres" \
    allowed_roles="my-role" \
    username="vault" \
    password="mypassword"

# Создание роли
vault write database/roles/my-role \
    db_name=my-postgresql-database \
    creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}'; \
        GRANT SELECT ON ALL TABLES IN SCHEMA public TO \"{{name}}\";" \
    default_ttl="1h" \
    max_ttl="24h"

# Получение динамических credentials
vault read database/creds/my-role

PKI Engine для сертификатов

# Включение PKI engine
vault secrets enable pki

# Настройка TTL
vault secrets tune -max-lease-ttl=87600h pki

# Генерация root CA
vault write -field=certificate pki/root/generate/internal \
    common_name="example.com" \
    ttl=87600h > CA_cert.crt

# Создание роли
vault write pki/roles/example-dot-com \
    allowed_domains="example.com" \
    allow_subdomains=true \
    max_ttl="720h"

# Выпуск сертификата
vault write pki/issue/example-dot-com common_name="test.example.com"

Интеграция с приложениями

# Python клиент
import hvac

# Подключение к Vault
client = hvac.Client(url='https://vault.example.com:8200')
client.token = 'your-vault-token'

# Чтение секрета
response = client.secrets.kv.v2.read_secret_version(path='myapp')
username = response['data']['data']['username']
password = response['data']['data']['password']

# Запись секрета
client.secrets.kv.v2.create_or_update_secret(
    path='myapp',
    secret=dict(username='admin', password='newpass')
)

Vault Agent для автоматической аутентификации

# vault-agent.hcl
exit_after_auth = true
pid_file = "./pidfile"

auto_auth {
  method "kubernetes" {
    mount_path = "auth/kubernetes"
    config = {
      role = "demo"
    }
  }

  sink "file" {
    config = {
      path = "/home/vault/.vault-token"
    }
  }
}

template {
  source      = "/etc/vault/db.tpl"
  destination = "/etc/app/db.conf"
}

Сценарии использования Vault

Централизованное управление секретами — замена переменных окружения и config файлов
Database credentials rotation — автоматическая смена паролей БД
PKI и управление сертификатами — выпуск и ротация SSL сертификатов
API ключи и токены — безопасное хранение и распределение API ключей
Шифрование данных — encryption as a service для приложений
CI/CD интеграция — безопасное получение секретов в пайплайнах

Когда НЕ использовать Vault

Простые проекты без критичных секретов
Команды без DevOps экспертизы для администрирования
Ограниченные ресурсы для поддержки инфраструктуры
Legacy системы без возможности API интеграции
Очень маленькие команды с простыми требованиями

Альтернативы Vault

AWS Secrets Manager — управляемый сервис от AWS
Azure Key Vault — решение от Microsoft Azure
Google Secret Manager — сервис от Google Cloud
CyberArk — enterprise решение для больших организаций
Kubernetes Secrets — встроенные секреты Kubernetes
Doppler — современная платформа управления секретами

Best Practices

Используй короткие TTL для dynamic secrets
Настрой audit logging для всех операций
Используй auto-unseal в production
Реплицируй Vault для высокой доступности
Ограничивай доступ через политики и роли
Регулярно ротируй unseal ключи

FAQ

Сложно ли настроить Vault?

Базовая настройка простая, но production-ready конфигурация требует понимания принципов безопасности и инфраструктуры. Рекомендуется изучить документацию и best practices.

Можно ли интегрировать Vault с CI/CD?

Да, Vault отлично интегрируется с Jenkins, GitLab CI, GitHub Actions и другими CI/CD системами через API или специальные плагины.

Как обеспечить высокую доступность Vault?

Используй кластерную конфигурацию с несколькими узлами, настрой репликацию данных и используй load balancer для распределения нагрузки.

Что такое HashiCorp Vault?

Инструмент для безопасного управления секретами, токенами, паролями и сертификатами с централизованным контролем доступа