Усиленная безопасность ключей, гибкий аудит событий и беспарольный вход: что нового в Deckhouse Stronghold 1.18
habr.comВышел новый релиз Deckhouse Stronghold — нашего решения для безопасного управления жизненным циклом секретов. Рассказываем о ключевых изменениях версии 1.18: от поддержки Managed Keys и расширения возможностей веб-интерфейса до контейнерных плагинов.Одно из ключевых изменений релиза — поддержка Managed Keys.
Теперь Deckhouse Stronghold работает с внешними KMS, не размещая приватные ключи внутри своего хранилища. Это снижает риск компрометации и помогает выполнять требования по безопасности и комплаенсу.Начиная с версии 1.18, Stronghold поддерживает работу с управляемыми ключами:в HSM через PKCS #11 — например, с использованием CryptoPro CSP или Рутокен ЭЦП;во внешних KMS — сейчас поддерживается Yandex KMS через API.Такой подход позволяет выполнять операции шифрования и расшифровки root key с использованием внешней инфраструктуры управления ключами, а ещё автоматически выполнять распечатывание хранилища после перезапуска без ручного ввода unseal-ключей.Кроме того, Yandex KMS теперь можно использовать в качестве seal-backend.
