bc
👍🏻
Можем онлайн на созвоне, или что-то ещё придумать)
Можем онлайн на созвоне, или что-то ещё придумать)
Начну издалека - наш основной головняк заключается в огромном количестве учеток ботов с пошаренными кренделями. Соответственно уход любого сотрудника требует очень геморройной, а главное непредсказуемой ротации всего этого добра. Как осложнение - возможность ходить на боксы у пользователей, т.е. гипотетически они даже не зная кренделей могли их выудить с сервака - хардкод, переменные и память, все как у всех.
Собственно попытка решить эти вопросы Волтом предсказуемо провалилась ибо Волт не под это заточен. Что придумали:
- радикально сократить число людей, знающих секреты, доверив это дело автоматике
- дабы обломать особо ушлых юзеров на боксах, генерировать и ротировать секреты той же автоматикой раз в сутки
- юзать Волт как способ секурного хранения и доставки кренделей
Посему родилась идея, что нужен брокер, который бы рулил процессами ротации и раскладки секретов. Итак, брокер:
- заряжается чем-то вроде мастер пароля, затем
- генерит по запросу секрет и кладет его в LDAP и в Волт
- генерит в Волте токен для доступа к этому секрету
- через 24 часа ротирует и секрет и токен для доступа к нему.
Соответственно скрипт/бот по токену достают секрет и с его помощью дальше что-то делают аутентифицируясь через LDAP. Через сутки или в случае увольнения сотрудника - повторить.
В этой схеме есть ряд весомых ограничений: если секрет вовремя не доедет до системы есть шанс просто эпично все сломать.
Собственно попытка решить эти вопросы Волтом предсказуемо провалилась ибо Волт не под это заточен. Что придумали:
- радикально сократить число людей, знающих секреты, доверив это дело автоматике
- дабы обломать особо ушлых юзеров на боксах, генерировать и ротировать секреты той же автоматикой раз в сутки
- юзать Волт как способ секурного хранения и доставки кренделей
Посему родилась идея, что нужен брокер, который бы рулил процессами ротации и раскладки секретов. Итак, брокер:
- заряжается чем-то вроде мастер пароля, затем
- генерит по запросу секрет и кладет его в LDAP и в Волт
- генерит в Волте токен для доступа к этому секрету
- через 24 часа ротирует и секрет и токен для доступа к нему.
Соответственно скрипт/бот по токену достают секрет и с его помощью дальше что-то делают аутентифицируясь через LDAP. Через сутки или в случае увольнения сотрудника - повторить.
В этой схеме есть ряд весомых ограничений: если секрет вовремя не доедет до системы есть шанс просто эпично все сломать.