Теңшелімдер мен құпияларды басқару

Конфигурациялар мен құпияларды басқару

1) Бұл не үшін қажет

• Болжамды (схемалар, валидация, нұсқалар).
• Қауіпсіз (шифрлау, ең төменгі құқықтар, ротация).
• Басқарылатын (GitOps, аудит, кері қайтару).
• Бұл ақталған жерде динамикалық (feature flags, лимиттерді параметрлеу).

2) Артефактілерді жіктеу

Жария конфигалар: фичтер, табалдырықтар, таймауттар, feature flags (құпиясыз).
Сезімтал конфигалар: сындарлы жолдардың мінез-құлқын өзгертетін параметрлер (мысалы, төлем лимиттері).
Құпиялар: парольдер/кілттер/токендер/сертификаттар/шифрлау материалдары.
Сенім артефактілері: түбірлік/аралық сертификаттар, PKI саясаты, KMS кілттері.

Құқықтарды бөлек сақтау принципі: жария ≠ сезімтал ≠ құпиялар.

3) Конфигурация иерархиясы

1. Global defaults (org-wide).

2. Environment (`prod/stage/dev`).

3. Region (`eu-central-1`, `us-east-1`).

4. Tenant/Brand (мульти-тенанттар үшін).

5. Service (нақты микросервис).

6. Override (runtime) - уақытша ауыстырып қосқыштар.

Біріктіру ережелері: «төмен жеңеді», жанжал - тек MR/approval арқылы.

Мысал (YAML)

yaml defaults:
http:
timeout_ms: 800 retry: 2 prod:
http:
timeout_ms: 1200 service: payments-api overrides:
eu-central-1:
http:
timeout_ms: 1500

4) Схемалар және валидация

Әрбір - схемамен келісімшарт (JSON Schema/OPA/CI валидаторлар).

Түрлер, ауқымдар, міндетті өрістер, әдепкі мәндер.
«Guard-ережелер» ('retry> 5', 'p95 _ target <50ms' қоюға болмайды).
СІ және қолдану кезіндегі автоматты тексеру (admission-webhook/KRM).

JSON Schema фрагменті

json
{
"type":"object",
"properties":{
"http":{"type":"object","properties":{"timeout_ms":{"type":"integer","minimum":100,"maximum":10000},"retry":{"type":"integer","minimum":0,"maximum":5}},"required":["timeout_ms"]},
"feature_flags":{"type":"object","additionalProperties":{"type":"boolean"}}
},
"required":["http"]
}

5) Конфигурацияларды жеткізу модельдері

Static (image-baked): сенімді, бірақ қайта қарауды қажет етеді.
Push/Watch :/sidecar агенттері жаңартуларды (stream/poll) алады және бағдарламаға сигнал береді.
Pull on startup: бастау кезінде снапшот аламыз (hot-path жеңілдетілсін).
Гео-бөлінген жүктемелер үшін Edge cache/proxy.

Ең бастысы: атомарлық және снапшоттарды нұсқалау, үйлесімділікті бақылау және тез қайту.

6) Құралдар мен рөлдер

Конфигурация қоймалары: Git (шындық көзі) + GitOps (Argo/Flux), Parameter Store/Config Service.
Құпия сақтау орындары: Vault, AWS Secrets Manager/SSM, GCP Secrets, Azure KV.
Шифрлау: KMS/HSM, SOPS (age/GPG/KMS), Sealed Secrets, Transit-шифрлау (Vault).
Жеткізу: CSI Secrets Store, Vault Agent Injector/Sidecar, init-контейнерлер.
Жалаулар/динамика: фича-жалаулар платформасы (авариялық kill-switch қоса алғанда).

7) Шифрлау: модельдер мен практикалар

At rest: Жобаның/ортаның KMS-кілттері, envelope-шифрлау.
In transit: Өзара аутентификацияланған TLS/mTLS.
At use: дешифрлеу мүмкіндігінше кеш, ең дұрысы - процесс жадында/sidecar (дискіге жазусыз).
Негізгі иерархия: root (HSM) → KMS CMK → data keys (DEK).
Ротация: күнтізбелік (90/180 күн) + оқиға бойынша (қызметкердің ымыраға келуі/кетуі).

8) Құпияларды басқару: паттерндер

8. 1 GitOps + SOPS (статикалық снапшот)

Git ішінде тек шифрмәтін сақталады.
CI/CD немесе кластердегі шифрды ашу (KMS/age).
Контроллер арқылы қолдану (Flux/Argo) → Kubernetes Secret.

yaml apiVersion: v1 kind: Secret metadata: { name: psp-keys, namespace: payments }
type: Opaque data:
apiKey: ENC[AES256_GCM,data:...,sops]

8. 2 Vault Agent Injector (динамикалық шығару)

Сервистік есеп (JWT/SA) Vault-да аутентификацияланады.
Sidecar tmpfs-ке кред қойып, TTL бойынша жаңартады.
Динамикалық кредиттерді қолдау (DB, cloud - оқшаулау және қысқа мерзім).

yaml annotations:
vault. hashicorp. com/agent-inject: "true"
vault. hashicorp. com/role: "payments-api"
vault. hashicorp. com/agent-inject-secret-db: "database/creds/payments"

8. 3 CSI Secrets Store

Құпияны volume ретінде орнату, ротация мөлдір.
PKI үшін - сертификаттарды/кілттерді автоматты түрде жаңарту.

9) Kubernetes: практикалық аспектілер

ConfigMap - тек жария/сезімтал емес деректер.
Secret - сезімтал (base64 - шифрламау; etcd үшін Encryption at Rest бағдарламасын қосыңыз).
Checksum аннотациялары: конфиг өзгерген кезде Deployment қайта бастау.
Admission-бақылау: «ақ тізімнен» емес құпияларды орнатуға тыйым салу, манифесттердегі «plain» парольдеріне тыйым салу.
NetworkPolicy: құпия провайдерлерге (Vault/CSI) қатынауды шектеу.

Checksum мысалы (Helm)

yaml annotations:
checksum/config: {{ include (print $.Template. BasePath "/configmap. yaml"). sha256sum }}

10) Қол жеткізу саясаты (RBAC/ABAC)

Least privilege: сервис тек өзінің құпияларын көреді; namespace/label/prefix.
Split duties: құпия жасау ≠ мазмұнды оқу; кез келген оқылым аудиті.
Уақытша кред: TTL және автоматты ротациясы бар динамикалық логиндер (DB, cloud).
Сегментация: әртүрлі жобалардағы/аккаунттардағы/KMS-кілттердегі prod/stage.

11) Аудит, журналға түсіру, бақылау

Құпияларды оқу/беру логтары: кім/қашан/не/қайдан; релиздермен және инциденттермен корреляция.
Метрика: өтініштердің жиілігі, мерзімі өтіп бара жатқан құпиялар, мерзімі өткен сертификаттар, динамикалық кредиттердің үлесі.
Қауіпсіздік оқиғалары: квоталардың артуы, IP/уақыт бойынша ауытқулар, көптеген сәтсіз аутентификациялар.

12) Құпиялар мен сертификаттарды ротациялау

Мерзімдерін стандарттаңыз: API-кілттер - 90 күн, DB-парольдер - 30 күн, TLS-серттер - 60-90 күн.
Ротация контуры: генерация → тест → қосарлы жарияланым (grace) → қайта қосу → ескісін кері қайтару → верификация.
Жұмыс істемеуі: конфигурацияларды/құпияларды екі рет жазу, клиенттердің үйлесімділігі (accept new + old).
PKI: меншікті CA немесе сыртқы интеграция; CSI/Vault арқылы mTLS материалдарын автоматты түрде жаңарту.

13) Динамикалық конфигалар және feature flags

«Ыстық» параметрлерді (лимиттер, таймауттар) -сервистен/жалау-платформадан алыңыз.
Жергілікті кэш және stickiness (хеш бойынша нұсқаны есептеу), қысқа TTL.
Сезімтал параметрлерді өзгертуге арналған SLO-күзетшілер (авто-кері қайту және kill-switch).

14) CI/CD және GitOps біріктіру

Pre-commit/CI: схемалар линтерлері, SOPS-тексерулер, «жалаңаш» құпияларға тыйым салу (сканерлер: gitleaks/trufflehog).
Policy Gate: OPA/Conftest - схемасыз/иесінің аңдатпасынсыз/орта белгілерінсіз пішіндерге тыйым салу.
Progressive delivery: параметрлерді өзгерту үшін пішіндер промоушені (semver), canary.
Релиздердің аңдатпалары: кім/қандай /құпия өзгерді; p95/5xx жылдам корреляция.

15) Мысалдар

15. 1 OPA саясаты: ашық SG конфигасына тыйым салу

rego package policy. config

deny[msg] {
input. kind == "SecurityGroupRule"
input. cidr == "0. 0. 0. 0/0"
input. port = = 5432 msg: = "Postgres open internet banned"
}

15. 2 Конфига «снапшот» мысалы (нұсқаланатын)

yaml version: 1. 12. 0 owner: payments-team appliesTo: [ "payments-api@prod" ]
http:
timeout_ms: 1200 retry: 2 withdraw:
limits:
per_txn_eur: 5000 per_day_eur: 20000 flags:
new_withdrawal_flow: false

15. 3 Vault - динамикалық БД кредтері

hcl path "database/creds/payments" {
capabilities = ["read"]
}
role issues user/password with TTL = 1h and auto-rollover

16) Қарсы үлгілер

Шифрлаусыз ашық/Helm/Ansible айнымалыларындағы Git құпиялары.
Барлық сервистер/орталар үшін бірыңғай «мега-құпия».
TTL/ротациясыз ұзақ өмір сүретін токендер; «өлмейтін» сертификаттар.
Схемасыз/валидациясыз және өзгерістер аудитінсіз динамикалық конфигалар.
Etcd/KMS және mTLS желісі үшін Encryption at Rest жоқ.
Өнімдегі пішіндерді қолмен түзету (GitOps тексеріп шығу).
Әзірлеушілердің «кез келген жағдайда» прод-құпияларына қол жеткізуі.

17) Енгізу чек-парағы (0-60 күн)

0-15 күн

Конфигурацияларға арналған схемаларды/валидаторларды қосу; «configs» репосын және GitOps-ағынын бастау.
KMS және шифрлауды көтеру: etcd-те SOPS/Sealed Secrets/Encryption at Rest.
Плейнтексті құпияларды CI (сканерлерге) енгізуге тыйым салу, owners/approvals енгізу.

16-30 күн

Сақтау орындарын бөлу: ашық конфигалар vs сезімтал vs құпиялар.
Vault/Secrets Manager енгізу, жеткізу жолын таңдау (Agent/CSI/SOPS).
TLS/DB/PSP кредиттерінің ротациясын баптау; дашбордтар «өмір сүру мерзімі/аяқталатын».

31-60 күн

SLO-гейтингі және авто-шегінісі бар динамикалық конфигалар мен жалаулар.
OPA/Conftest саясаты; zero-trust (namespace/label-scoped қатынау).
Game-day: құпия және форс-ротация шығуын симуляциялау.

18) Жетілу метрикасы

Git = 100% дегеннен тікелей қатынаусыз және шифрланған құпиялар%.
Пішіндерді схемалармен/валидациямен жабу 95% ≥.
Сындарлы құпияларды ротациялаудың орташа уақыты (мақсаты: сағаттар, күндер емес).
Динамикалық кредиттердің үлесі (DB/cloud) 80% ≥.
«plain secrets «/мерзімі өткен сертификаттарға байланысты 0 инцидент.
MTTR кері қайтарылған конфига қатесі кезінде <5 минут.

19) Командалық рөлдер мен процестер

Config Owner: домен/схемалар/саясат иесі.
Security: саясат, негізгі иерархия, кіру аудиті.
Platform/SRE: GitOps, жеткізу/инжекция, телеметрия.
App Teams: конфигурацияларды/құпияларды тұтыну, үйлесімділік тестілері.

20) Қорытынды

Конфигурациялар мен құпиялардың сенімді контуры - бұл + GitOps + шифрлау + ротация + саясат схемалары. Көпшілік пен құпияны бөлісіңіз, бәрін шифрлаңыз, конфигаларды атомарлық және нұсқалық түрде қолданыңыз, кредиттердің құқықтары мен өмір сүру мерзімін барынша азайтыңыз, ротация мен аудитті автоматтандырыңыз. Сонда өзгерістер жылдам және қауіпсіз болады, ал ағып кету мен құлдырау қаупі барынша аз болады.