Идоракунии махфӣ

Идоракунии махфӣ

1) Чаро ва он чизе ки мо маҳз "махфӣ" мешуморем

Махфӣ - ҳама гуна маводе, ки ифшои он ба вайрон шудани система ё маълумот оварда мерасонад: паролҳо, аломатҳои API, калидҳои хусусии OA/JWT, калидҳои SSH, сертификатҳо, калидҳои рамзгузорӣ (KEK/DEK), калидҳои имзои webhook, пойгоҳи додаҳои DSN, калидҳои фурӯшанда (пардохтҳо, провайдерҳои почта/SMS), намакҳои куки/ќаламфури, нишонаҳои бот/чат, литсензия.
Асрҳо дар рамз, конфигуратсия, муҳит, тасвирҳои контейнерӣ, CI/CD, Terraform/Ansible, гузоришҳо/партовҳо зиндагӣ мекунанд - вазифаи идоракунии асрҳо: ҳисоб → нигаҳдорӣ → таҳвил → истифодаи → rotation → repaction → audit → истифода.

2) Принсипҳои меъморӣ

Мутамарказӣ. Як қабати боэътимод (Vault/Cloud Secret Manager/KMS) барои нигоҳдорӣ, барориш ва аудит.
Имтиёзҳои камтарин (POLP). Дастрасӣ танҳо ба хидматҳо/нақшҳои зарурӣ барои давраи ҳадди аққал.
Ҳаёти кӯтоҳ. Сирри динамикӣ/вақт бо TTL/иҷора бартарӣ дорад.
Крипто-қобилият. Қобилияти тағир додани алгоритмҳо/дарозии калидҳо бидуни вақти корӣ.
Ҷудо кардани асрҳо аз рамз/тасвирҳо. Парол дар анборҳо нест, тасвирҳои Docker нест.
Мушоҳида ва аудит. Ҳар як амалиёти додани асрори хониш сабт ва нест карда мешавад.
Гардиши худкор. Гардиш равандест дар лӯла, на амали дастӣ.

3) Ҳалли маъмулӣ ва нақшҳои ҷузъӣ

KMS/HSM. Боварӣ ба решавӣ, рамзгузорӣ/амалиёти печонидани калидҳо (лифофа).
Менеҷери махфӣ/Vault. Дӯкони версияи махфӣ, ACL, аудит, сирри динамикӣ (DB, абр-IAM, PKI), қолабҳои гардиш.
PKI/CA. Барориши имзоҳои кӯтоҳмуддати MTLS/SSH/JWT.
Агент/sidecar. Расонидани асрҳо ба вақти корӣ (tmpfs, дар хотираи k/v, файлҳои аз нав боркунӣ).
Ронандагон/операторони CSI. Интегратсия бо Кубернетес (Secret Store CSI Driver, сертификат-менеҷер).
Қабати рамзгузорӣ дар Git. SOPS/синну сол, git-crypt (барои рамзи инфрасохтор).

4) Тасниф ва сиёсат

• TTL/басомади иҷора ва гардиш;
• усули баромад (динамика vs статикӣ), формат, ВАО;
• сиёсати дастрасӣ (ки/дар куҷо/кай/барои чӣ), талаботҳои MTLS ва аутентификатсияи мутақобила;
• аудит (ки мо қайд мекунем, ки чӣ қадар захира мекунем, кӣ баррасӣ мекунад);
• тартиботи шишагин ва ба хотир меорад.

5) Давраи ҳаёти махфӣ

1. Эҷод: тавассути менеҷери махфии API бо метамаълумот (соҳиб, барчасбҳо, миқёс).
2. Нигоҳдорӣ: рамзгузорӣ (лифофа: DEK бо KEK аз KMS/HSM печонида шудааст).
3. Таҳвил: бо дархости шахси ваколатдор (OIDC/JWT, SPIFFE/SVID, mTLS).
4. Истифода: танҳо дар хотира/дар tmpfs; манъи буридани/партовҳо.

5. Гардиш: аз ҷониби TTL ё ҳодиса (созиш); Дастгирии версияҳои мувозӣ (N-1)

6. Хотиррасон/бастан: мӯҳлати фаврии иҷора, вайронкунии ҳисоб/калид дар системаи мақсаднок.
7. Ихтиёрдорӣ: нест кардани версияҳо/мавод, занҷири возеҳи аудит.

6) Сирри динамикӣ (бо нобаёнӣ тавсия дода мешавад)

• Маълумотҳои пойгоҳи додаҳо (Postgres/My-SQL) бо TTL 15-60 дақиқа.
• Калидҳои муваққатии абрӣ (AWS/GCP/Azure) аз рӯи нақши хидмат.
• Сертификатҳои SSH (5-30 дақиқа), шаҳодатномаҳои X.509 (соат/рӯз).
• JWT муваққатӣ барои имзо кардани дархостҳо, брокерҳои чиптаҳои сессия.
• Тарафдор: радиуси ҳадди аққали таркиш, ёдраскунии соддакардашуда (ҳеҷ чиз дар ҷаҳон "боқӣ нахоҳад монд").

7) Таҳвили асрҳо дар вақти корӣ

• Дӯкони махфии CSI Драйвер → васл кардани асрори мудири беруна ба pod ҳамчун файлҳо (tmpfs).
• Аз сирри Kubernetes ҳамчун манбаи ягона канорагирӣ кунед (base64 ≠ рамзгузорӣ); Агар лозим бошад, провайдери KMS-ро барои etcd фаъол созед.
• Агенти Sidecar (Vault Agent/Secrets Store) бо иҷораи худкори гурда ва аз нав боркунии гарм.
• VM/Bare-metal: агенти система + MTLS ба Vault/Менеҷери махфӣ, кэш дар хотира, ҳадди аққали TCB.
• Serverless: ҳамгироии абр бо ивазкунии шаффофи асрҳо ҳамчун тағирёбандаҳои муҳити зист/файлҳо, аммо аз лифофаҳои дарозмуддат дурӣ ҷӯед - беҳтараш файлҳо/дар хотира.

Мисол (Кубернетес + CSI, консептуалӣ)

yaml apiVersion: v1 kind: Pod metadata: { name: app }
spec:
serviceAccountName: app-sa # is associated with a role in Secret Manager volumes:
- name: secrets csi:
driver: secrets-store. csi. k8s. io readOnly: true volumeAttributes:
secretProviderClass: app-spc containers:
- name: app volumeMounts:
- mountPath: /run/secrets name: secrets readOnly: true

8) Интегратсияи CI/CD ва IAC

CI: коргарон мувофиқи OIDC (Identity Workload) нишонаҳои кӯтоҳмуддат мегиранд. Манъи сирри "ниқоб", ки ба гузоришҳо ворид мешаванд; қадами "сканкунии ихроҷ" (труфлехог/гитлекс).
CD: Ҷойгиркунӣ ҳангоми намоиш сирри махфиро мегирад, онҳоро ба артефактҳо наменависад.
IAC: Terraform тағирёбандаро дар Менеҷери Махфӣ нигоҳ медорад; давлат рамзгузорӣ шудааст ва дастрасӣ маҳдуд аст.
SOPS/синну сол: барои репо - нигоҳ доштани зуҳуроти рамзишуда, калидҳо - таҳти назорати KMS.

Мисол (порчаи SOPS)

yaml apiVersion: v1 kind: Secret metadata: { name: app }
data:
PASSWORD: ENC[AES256_GCM,data:...,sops:...]
sops:
kms:
- arn: arn:aws:kms:...
encrypted_regex: '^(data    stringData)$'
version: '3. 8. 0'

9) Сиёсати дастрасӣ ва аутентификатсияи сарбории корӣ

Шахсияти сарбории корӣ: SPIFFE/SPIRE, Kubernetes SA → OIDC → IAM-rolel, m

Нишонаҳои муваққатӣ: TTL кӯтоҳ, доираи танг.
ABAC/RBAC дар Менеҷери Махфӣ: "ки сирри X-ро дар муҳити Y хонда метавонад" аз "кӣ метавонад эҷод/гардиш кунад" ҷудо аст.
Бисёрҳуҷрагӣ: ҷойҳои алоҳида/ҳалқаҳои калидӣ барои як иҷорагир; сиёсати инфиродӣ ва гузоришдиҳӣ.

10) Гардиш, версияҳо ва мутобиқат

Шиносаи махфӣ ва версияи онро ҷудо кунед ('махфӣ/барнома/db # v17').
Ду версияи фаъолро (N ва N-1) барои гардиши беист дастгирӣ кунед.
Ротатсия ба рӯйдод асос ёфтааст: ҳангоми аз кор озод кардан, созиш кардан, иваз кардани провайдер, муҳоҷирати алгоритмҳо.
Автоматизатсия: гардиши cron/backend дар Vault/Secret Manager + триггерҳои webhook барои бозоғозии/гурда.

Дорухат мини гардиши webhook "ду калид"

text
T0: we publish two secrets in the provider: current, next
T1: the application starts accepting signatures by both current and next
T2: external system switches signature to next
T3: we do next -> current, re-release new next

11) Нигоҳдории вақти корӣ: нусхабардорӣ ва артефактҳо

Ҳеҷ гоҳ ба артефактҳо ворид нашавед (тасвирҳо, бойгонӣ, партовҳо).
Нусхаҳои эҳтиётии менеҷери махфӣ - рамзгузорӣ, калидҳои нигоҳдорӣ берун аз як ҳалқа (ҷудо кардани вазифаҳо).
Тегҳо ва сканҳои DLP: муайян кардани асрори дар S3/Blob/GCS, Git, CI артефактҳо.

12) Мушоҳида, аудит ва SLO

Нишондиҳандаҳо: шумораи масъалаҳо/махфӣ/хизматрасонӣ, ҳиссаи иҷораи мӯҳлати истифодашуда, TTL миёна, вақти гардиш, вақти конвергенсия (сонияҳо/дақиқаҳо пеш аз қабули версияи нав).
Гузоришҳои аудит: кӣ/чӣ/вақте/дар куҷо/чаро; нигоҳдорӣ алоҳида, инчунин рамзгузорӣ карда мешавад.
SLO: 99% баромад <200 ms; 0 ихроҷ дар гузоришҳо; 100% асрҳо соҳиби/TTL/барчаспҳо мебошанд; 100% сирри интиқодӣ - динамикӣ ё гардиш ≤ 30 рӯз.
Огоҳиҳо: мӯҳлати махфӣ <7 рӯз (барои статикӣ), хӯша дар нокомии аутентификатсия барои нигоҳдорӣ, махфӣ хонда намешавад> N рӯз (мурда), манбаъҳои ғайричашмдошти гео/ASN.

13) Хатогиҳои зуд-зуд ва чӣ гуна аз онҳо канорагирӣ кардан

Асрҳо дар Git/тасвирҳо. SOPS/синну сол ва сканерро истифода баред; сиёсати манъи хатҳои "луч".
Envvars ҳамчун миёнаравии дарозмуддат. Ба tmpfs/файлҳои хотира бартарӣ диҳед; муҳити зистро дар чангалҳо/партовҳо тоза кунед.
Асрори якхела барои dev/stage/prod. Аз рӯи муҳит тақсим кунед.
Паролҳои дарозмуддати статикӣ. Гузариш ба динамикӣ/кӯтоҳмуддат.
Калиди ягонаи усто "барои ҳама чиз. "Тақсим аз ҷониби иҷорагир/лоиҳа/хидмат.
Не боркунии гарм. Барнома талаб мекунад, ки ҳангоми гардиш равзанаи осебпазирӣ аз нав оғоз карда шавад.

14) Намунаҳои ҳамгироӣ (схемавӣ)

Дастрасии динамикии Vault Postgres

hcl
Vault: role -> issues the user to the database with TTL 30m and privileges only to the app path "database/creds/app-role" {
capabilities = ["read"]
}
Application requests/database/creds/app-role -> receives (user, pass, ttl)

Имзои JWT дархостҳо (кӯтоҳмуддат)

Калиди хусусӣ дар Менеҷери Махфӣ нигоҳ дошта мешавад; хидмат аломати кӯтоҳмуддатро талаб мекунад ва агенти маҳаллӣ сарбориро имзо мекунад (калид ба барнома ҳамчун сатр дода намешавад).

Шаҳодатномаҳои SSH барои маъмурон

Додани SSH-сертификат барои 10 дақиқа тавассути SSO (OIDC), бидуни паҳн кардани калидҳои доимӣ.

15) Бехатарӣ дар атрофи кунҷҳо

Гузоришҳо/роҳҳо/ченакҳо: санитаризатсия, филтрҳо барои калидҳо/намунаҳои маълум; майдонҳои "махфӣ" - ниқоб дар APM.
Ҳисоботҳо дар бораи партовҳо/садамаҳо: Бо нобаёнӣ бурида мешавад; агар лозим бошад - рамзгузорӣ ва тоза.
Барномаҳои муштарӣ/мобилӣ: сирри офлайнро кам кунед, нигоҳдории платформаро (Keychain/Keystore), ҳатмии дастгоҳ, TLS-pinning бо ғалтаки фаврӣ истифода баред.

16) Мувофиқат

PCI DSS: нигоҳ доштани PAN/сирро бидуни рамзгузорӣ манъ кунед; назорати қатъии дастрасӣ ва гардиш.

ISO 27001/SOC 2 - Идоракунии дороиҳо, сабти ном, назорати дастрасӣ, талаботҳои барқарорсозӣ

GDPR/танзимгарони маҳаллӣ: ҳадди аққал, дастрасӣ дар ҳолати зарурӣ, аудит.

17) Равандҳо ва дафтарчаи корӣ

Ба истифода дода мешавад

1. Инвентаризатсияи асрҳо (анборҳо, CI, тасвирҳо, вақти корӣ, нусхабардорӣ).
2. Таснифот ва барчаспҳо (соҳиб, муҳити зист, иҷорагир, ротатсия-сиёсат).
3. Интегратсияи Vault/Cloud SM + KMS/HSM.
4. Танзими натиҷа аз рӯи шахсияти сарбории корӣ (OIDC/SPIRE).
5. Асрори динамикиро барои DB/Cloud/PKI фаъол созед.
6. Худтанзимкунӣ ва азнавборкунии гарм; огоҳиҳо дар бораи ба охир расидани мӯҳлат.
7. Танзими сканерҳои ихроҷ ва каталоги маълумот/ET.

Сенарияҳои фавқулодда

Ихроҷи гумонбаршуда: рӯйхати таваққуфи дастрасӣ, гардиши фаврӣ, бекор кардани шаҳодатномаҳо/калидҳо, нишонаҳои аз нав баровардан, имкон додани аудити зиёд, RCA.
Менеҷери махфӣ мавҷуд нест: кэши маҳаллӣ дар хотира бо TTL-и паст, таназзули функсия, маҳдуд кардани пайвастҳои нав, қадамҳои дастии шикастани шиша.
Созишномаи калидҳои решавӣ: таҷдиди калидҳои иерархӣ, аз нав ба итмом расонидани ҳамаи DEK, санҷиши ҳама экспозитсияҳо барои равзанаи хатар.

18) Рӯйхати санҷишҳо

Пеш аз фурӯш

• Асрори аз рамз/тасвирҳо бардошташуда; сканерҳои ихроҷ дохил карда шудаанд.
• Механизмҳои динамикӣ барои сирри интиқодӣ фаъол мебошанд.
• Таҳвил тавассути sidecar/CSI/tmpfs бо боркунии гарм, ҳеҷ конвейери пойдор.
• Сиёсати IAM/ABAC танзим карда шудааст, ки ба шахсияти сарборӣ вобаста аст.
• Версияҳои худкор ва дугона (N, N-1) барои мутобиқат.
• Ченакҳо/огоҳиҳо/аудитҳо фаъол мебошанд; санҷишҳои таназзул гузаштанд.

Амалиёт

• Ҳисоботи ҳармоҳа: Соҳибон, TTL, Сирри мӯҳлати истифоданашуда, истифоданашуда.
• Даврзании даврӣ ва санҷишҳои воридшавии роҳҳои ихроҷ (гузоришҳо, партовҳо, артефактҳо).
• нақшаи қобилияти криптографӣ ва ивазкунии фаврии CA/решаҳо.

19) FAQ

Савол: Оё менеҷери махфӣ бе KMS кофӣ аст?
Ҷ: Барои сатҳи асосӣ - бале, аммо беҳтар аст, ки рамзгузории лифофаро истифода баред: KEK дар KMS/HSM, асрори - печонидашуда. Ин фикру мулоҳизаҳо ва мувофиқатро содда мекунад.

Савол: Чиро интихоб кардан лозим аст - статикӣ ё динамикӣ?
A: Пешфарз динамика аст. Танҳо дар ҳолате, ки провайдерҳои дастгирӣ мавҷуд набошанд, статикӣ гузоред ва TTL-ро то рӯз/соат + гардиши автоматӣ сӯзонед.

Савол: Чӣ гуна сирри бехатарро ба microservice партофтан мумкин аст?
O: Мушаххасоти сарбории корӣ → m 'TLS k Менеҷери махфӣ → sidecar/CSI → файлы в tmpfs + hot-readoad. Ҳеҷ гузорише нест, ҳеҷ гуна "абадӣ" нест.

Савол: Оё ман метавонам сирри Кубернетесро пинҳон кунам?
A: Танҳо бо рамзгузории etcd бо провайдери KMS ва сиёсати қатъӣ фаъол аст. Нигоҳдории беруна ва CSI-ро афзалтар донед.

Савол: Чӣ гуна шумо дастрасии иҷорагирро "крипто-тоза" мекунед?
Ҷ: Сиёсати худро дар Менеҷери Махфӣ бекор/маҳкам кунед, ҳама иҷораҳоро беэътибор кунед, гардиши калидӣ/барқарорсозӣ; ҳангоми истифодаи KMS - кушодани KEK-и мувофиқро хомӯш кунед.

• "Ҳангоми рамзгузорӣ"
• "Дар рамзгузории транзит"
• "Идоракунии калидӣ ва гардиш"
• "S2S аутентификатсия"
• "Дархостҳоро имзо кунед ва тафтиш кунед"