Шифрование конфиденциальных данных
Мы рекомендуем шифровать конфиденциальные данные на машине с установленным Apiary:
- все данные на диске или отдельные директории средствами ОС;
- пароли и ключи доступа к сторонним системам при помощи средств самого Apiary;
- либо настроить интеграцию с Vault, чтобы не хранить их на этой машине.
Шифрование средствами ОС
Вы можете шифровать весь диск или один из перечисленных каталогов:
/opt/hw-fh/data/opt/hw-fh/config
Для шифрования вы также можете использовать:
- Программное обеспечение ОС (EncFS, CryFS, dm-crypt и т. д.);
- Коммерческие приложения;
- Решения для облачных провайдеров (AWS, Azure и т. д.).
Шифрование средствами приложения
При помощи этой опции можно зашифровать все пароли пользователей для внешних систем (LDAP, SMTP, JIRA, Hive), которые хранятся на машине с установленным Apiary или во внешней БД. При этом ключ шифрования будет храниться на машине, где установлен Apiary.
Для более надёжного хранения этих данных можно настроить интеграцию с Vault.
⚠️ Примечание: рекомендуем активировать шифрование паролей, прежде чем настраивать интеграцию с внешними системами. Если соединения уже настроены, то обратите внимание на примечание в конце этой главы.
Чтобы настроить шифрование паролей, необходимо
выполнить реконфигурацию.
Добавьте опцию sensdata.encrypt.mode и установите ей значение AES256
(в настоящее время это единственный поддерживаемый алгоритм шифрования):
Выполните реконфигурацию, чтобы изменения вступили в силу.
⚠️ Если до настройки шифрования чувствительных данных интеграция с внешними системами уже была настроена, то после рестарта обновите их настройки, чтобы зашифровать существующие пароли.