13 시크릿 저장소

개요

Zabbix는 보안 볼트에서 민감한 정보를 검색하도록 구성할 수 있습니다. 다음과 같은 시크릿 관리 서비스가 지원됩니다: HashiCorp Vault KV Secrets Engine - Version 2, CyberArk Vault CV12.

시크릿은 다음을 검색하는 데 사용할 수 있습니다:

• 사용자 매크로 값
• 데이터베이스 액세스 자격 증명

Zabbix는 볼트의 시크릿에 대한 읽기 전용 액세스를 제공하며, 시크릿이 다른 누군가에 의해 관리된다고 가정합니다.

특정 볼트 공급자 구성에 대한 정보는 다음을 참조하세요:

• HashiCorp 구성
• CyberArk 구성

시크릿 값 캐싱

볼트 시크릿 매크로 값은 Zabbix 서버에서 구성 데이터를 새로 고칠 때마다 검색되어 구성 캐시에 저장됩니다. Zabbix 프록시는 각 구성 동기화 시 Zabbix 서버로부터 볼트 시크릿 매크로 값을 받아 자체 구성 캐시에 저장합니다.

볼트에서 캐시된 시크릿 값을 수동으로 새로 고치려면 'secrets_reload' 명령줄 옵션을 사용하세요.

Zabbix 프론트엔드 데이터베이스 자격 증명의 경우 기본적으로 캐싱이 비활성화되어 있지만, zabbix.conf.php에서 $DB['VAULT_CACHE'] = true 옵션을 설정하여 활성화할 수 있습니다. 자격 증명은 파일 시스템 임시 파일 디렉터리를 사용하여 로컬 캐시에 저장됩니다. 웹 서버는 개인 임시 폴더에 쓰기를 허용해야 합니다(예: Apache의 경우 구성 옵션 PrivateTmp=True가 설정되어야 함). 데이터 캐시가 새로 고쳐지거나 무효화되는 빈도를 제어하려면 ZBX_DATA_CACHE_TTL 상수를 사용하세요.

TLS 구성

Zabbix 구성 요소와 볼트 간의 통신에 TLS를 구성하려면, 인증 기관(CA)이 서명한 인증서를 시스템 전체 기본 CA 저장소에 추가하세요. 다른 위치를 사용하려면 Zabbix 서버/프록시 구성 매개변수의 SSLCALocation에 디렉터리를 지정하고, 해당 디렉터리 안에 인증서 파일을 배치한 후 CLI 명령을 실행하세요:

c_rehash .