Усиленная безопасность ключей, гибкий аудит событий и беспарольный вход: что нового в Deckhouse Stronghold 1.18
Вышел новый релиз Deckhouse Stronghold — нашего решения для безопасного управления жизненным циклом секретов. Рассказываем о ключевых изменениях версии 1.18: от поддержки Managed Keys и расширения возможностей веб-интерфейса до контейнерных плагинов.
Одно из ключевых изменений релиза — поддержка Managed Keys. Теперь Deckhouse Stronghold работает с внешними KMS, не размещая приватные ключи внутри своего хранилища. Это снижает риск компрометации и помогает выполнять требования по безопасности и комплаенсу.
Начиная с версии 1.18, Stronghold поддерживает работу с управляемыми ключами:
в HSM через PKCS #11 — например, с использованием CryptoPro CSP или Рутокен ЭЦП;
во внешних KMS — сейчас поддерживается Yandex KMS через API.
Такой подход позволяет выполнять операции шифрования и расшифровки root key с использованием внешней инфраструктуры управления ключами, а ещё автоматически выполнять распечатывание хранилища после перезапуска без ручного ввода unseal-ключей.
Кроме того, Yandex KMS теперь можно использовать в качестве seal-backend. В результате master-ключи могут храниться во внешней KMS, а запуск и восстановление хранилища становятся проще и надёжнее.
Теперь Deckhouse Stronghold легко встраивается в корпоративную IAM-среду через SAML 2.0 и Web SSO. Пользователи попадают в систему через привычный единый корпоративный вход, а для администраторов управление доступами не выходит за периметр корпоративного IdP.
В версии 1.18 ряд задач, которые раньше требовали обращения к CLI, стали доступны через веб-интерфейс.
Управление параметрами репликации KV-mount. Администраторы могут настраивать репликацию KV прямо из веб-интерфейса, без ручной конфигурации через CLI. Это снижает вероятность ошибок при настройке, да и в целом ускоряет
Читать на habr.com