Vai al contenuto principale

Accesso OpenBao

VaultPAM utilizza OpenBao (il fork open-source di HashiCorp Vault) come motore di secrets sottostante. Questo articolo spiega cos'è OpenBao, come VaultPAM lo utilizza e quando gli amministratori on-premises potrebbero aver bisogno di interagire con esso direttamente.

Che cos'è OpenBao

OpenBao è una piattaforma open-source per la gestione di secrets. VaultPAM la utilizza per crittografare e archiviare tutte le credenziali privilegiate (password, chiavi SSH, token API) in un backend sicuro e verificabile.

Durante il normale funzionamento, non si interagisce mai direttamente con OpenBao. VaultPAM fornisce un'astrazione a livello di console: gestisci i Safes e le credenziali attraverso l'interfaccia utente, e VaultPAM comunica con OpenBao per tuo conto.

Come VaultPAM utilizza OpenBao

  • Distribuzioni SaaS: OpenBao è gestito interamente dalla piattaforma VaultPAM. Non hai accesso diretto ad esso.
  • Distribuzioni on-premises: OpenBao viene eseguito come parte del tuo stack di deployment. Viene inizializzato e sigillato automaticamente dal programma di installazione VaultPAM. In circostanze normali, non hai bisogno di interagire con esso direttamente.

Quando interagisci con OpenBao direttamente

Gli amministratori on-premises potrebbero aver bisogno di accedere a OpenBao direttamente in scenari avanzati:

  • Disaster recovery: se il piano di controllo VaultPAM si guasta e hai bisogno di recuperare secrets grezzi
  • Rotazione delle chiavi: ruotare la chiave root o transit di OpenBao come parte di un audit di sicurezza
  • Debug: diagnosticare un problema a livello di credenziali sotto la guida del supporto VaultPAM

Prima di accedere a OpenBao direttamente, contatta support@vaultpam.com per confermare la procedura ed evitare perdita di dati.

L'accesso diretto a OpenBao ignora il logging di audit di VaultPAM

Qualsiasi azione intrapresa direttamente contro l'API OpenBao -- lettura, scrittura o eliminazione di secrets -- ignora la traccia di audit di VaultPAM. Questo significa che quelle azioni non vengono registrate nel log di audit di VaultPAM e non possono essere attribuite a un utente VaultPAM.

Utilizza sempre l'interfaccia di VaultPAM per l'accesso privilegiato. Riserva l'accesso diretto a OpenBao solo per il recupero d'emergenza.

Dati OpenBao e backup

I dati OpenBao sono inclusi nel backup standard di VaultPAM. Per SaaS, questo viene gestito automaticamente. Per on-premises, il backup PostgreSQL copre il backend di storage di OpenBao. Consulta Backup and recovery per i dettagli.

Articoli correlati