Zabbix se puede configurar para recuperar información confidencial de una bóveda segura. Se admiten los siguientes servicios de administración de secretos: HashiCorp Vault KV Secrets Engine - Versión 2, CyberArk Vault CV12.
Los secretos se pueden utilizar para recuperar:
Zabbix proporciona acceso de solo lectura a los secretos de una bóveda, suponiendo que los secretos los administre otra persona.
Para obtener información sobre la configuración del proveedor de bóveda específica, consulte:
El servidor Zabbix recupera los valores de las macros secretas de labóveda en cada actualización de los datos de configuración y luego los almacena en la caché de configuración. El proxy Zabbix recibe valores de las macros secretas de la bóveda del servidor Zabbix en cada sincronización de configuración y los almacena en su propia caché de configuración.
El cifrado debe estar habilitado entre el servidor Zabbix y el proxy; de lo contrario, se registra un mensaje de advertencia del servidor.
Para activar manualmente la actualización de los valores secretos almacenados en caché desde una bóveda, utilice la opción de línea de comandos 'secrets_reload'.
Para la interfaz de Zabbix, el almacenamiento en caché de las credenciales de la base de datos está deshabilitado de forma predeterminada, pero se puede habilitar configurando la opción $DB['VAULT_CACHE'] = true
en zabbix.conf.php. Las credenciales se almacenarán en una caché local utilizando el directorio de archivos temporales del sistema de archivos. El servidor web debe permitir la escritura en una carpeta temporal privada (por ejemplo, para Apache se debe configurar la opción de configuración PrivateTmp=True
). Para controlar la frecuencia con la que se actualiza/invalida la caché de datos, utilice ka constante ZBX_DATA_CACHE_TTL .
Para configurar TLS para la comunicación entre los componentes de Zabbix y la bóveda, agregue un certificado firmado por una autoridad certificadora (CA) al almacén de CA predeterminado de todo el sistema. Para utilizar otra ubicación, especifique el directorio en el parámetro de configuración SSLCALocation Zabbix servidor/proxy, coloque el archivo del certificado dentro de ese directorio, luego ejecute el [comando] CLI (https://www.openssl.org/docs/manmaster/man1/c_rehash.html):