Корпоративное хранилище секретов StarVault — первая в России полноценная альтернатива HashiCorp Vault06.05.2024 15:45

a9b3a23f09ceec10ca2c0179f17f184a.png

Vault — самое популярное в мире корпоративное хранилище секретов. С 2023 года его практически невозможно использовать в российских компаниях с сохранением лицензионной чистоты из-за новых политик лицензирования его разработчика, британской компании Hashicorp.

Мы сами применяем Vault в собственных продуктах, и в 2023 году нам пришлось решать эту проблему для себя и всех, кого это касается в России. На основе материнского решения от Hashicorp мы сделали публичный продукт, аналог Vault, позволяющий компаниям соблюдать лицензионную чистоту, с поддержкой от отечественного вендора, безопасный с точки зрения размещения кодовой базы в РФ и контроля безопасности компонентов. В общем, встречайте полноценную альтернативу Hashicorp Vault, StarVault от Orion soft.

Меня зовут Максим Морарь. В Orion soft я product-owner корпоративного хранилища секретов StarVault, а также платформы Nova Container Platform, с которой связана история рождения хранилища. Я расскажу о StarVault, его появлении и сегодняшних задачах российского рынка, которые он решает. И кстати, он больше, чем просто хранилище секретов. Буду рад обратной связи в комментариях.

Итак, поехали!

Предпосылки: изменение лицензионной политики HashiCorp

Уже несколько лет мы активно работаем с Hashicorp Vault, решая ряд задач, связанных с хранением данных, в том числе делаем управление секретами более гибким.  Этот модуль выступает в качестве встроенного компонента безопасности в нашу Nova Container Platform — большую и комплексную платформу для эксплуатации контейнеризованных приложений.

В августе 2023 года компания Hashicorp изменила лицензионную политику для ряда своих продуктов, среди которых был и всеми любимый Vault. Его новые версии начали распространяться не под открытой лицензией MPL v2.0, как это было раньше, а под лицензией BSL, которая полностью открытой, как вы знаете, не является. Нужно было понять, как это влияет на дальнейшее развитие Nova и что нам теперь делать.

Новые условия использования Vault трактуют по-разному и спорят о них по сей день. Участвовать в этих спорах у меня нет желания, но мы выработали для себя трактовку, на которую опирались в решениях о дальнейшей жизни и развитии продуктов. Как и многие компании, которые заботятся о лицензионной чистоте, мы трактуем эти условия так:

  • Новые версии Vault больше нельзя использовать в составе своих продуктов, если ты с помощью них зарабатываешь деньги.

  • Новые версии Vault больше нельзя использовать в production-системах, если ты с помощью этих production-систем извлекаешь прибыль (то есть, речь почти о любых production-системах).

Это упрощенные формулировки, но они отражают суть. Если вам интересно, откуда они вытекают в юридическом смысле и почему мы сделали именно такие выводы — добро пожаловать в комментарии.

Какие у нас были варианты

Итак, мы и сотни или даже тысячи других российских компаний больше не можем использовать актуальные версии Vault, как раньше, то есть — бесплатно, потому что это нарушает лицензионную политику Hashicorp. Заплатить мы тоже не можем, потому что Hashicorp с компаниями из РФ больше не сотрудничает.

Варианта у нас с вами в этой ситуации три:

  1. Забить. Прикрыться альтернативными трактовками формулировок об условиях использования и надеяться, что вендор никогда не доберется со своими аудитами до компании из далёкой России.

  2. Искать open source-аналоги в community. Это прекрасный вариант, за исключением одного большого НО. Этих аналогов нет. Мы проанализировали все существующие решения такого класса и с уверенностью заявляем: альтернативы Vault с точки зрения функциональности, удобства использования и архитектурной привлекательности в природе не существует.

  3. Сделать собственное решение на базе Vault. Этот вариант — скорее для продуктовых ИТ-компаний, которые зарабатывают на ПО деньги.

Как вы, наверное, догадались, мы пошли по третьему пути. Забивать на лицензионную чистоту мы не хотим из принципиальных соображений. Отказываться от Vault мы, как и многие наши клиенты в РФ, тоже не готовы: если Vault используется внутри инфраструктуры или продукта, его очень тяжело оттуда выковырять. А если и получится, то вся архитектура сильно потеряет в функциональности, потому что полноценных аналогов Vault нет.

Исходя из этих соображений и наличия многолетней экспертизы в самом Vault, мы решили сделать собственное решение. Оно базируется на последней актуальной версии MPL v2.0, которая имеет ряд улучшений.

Итак, встречайте: StarVault

Окно авторизации StarVault в UI

Окно авторизации StarVault в UI

StarVault — корпоративное хранилище секретов, которое полностью поддерживает все функциональности Vault. 

StarVault рождён как компонент полностью российской платформы контейнеризации Nova, и его работа уже обкатана у десятков наших клиентов, которые используют Nova: StarVault там находится в каждом кластере. Теперь мы сделали StarVault доступным как standalone-решение. 

Под капотом StarVault — Hashicorp Vault версии 1.14.8, но:

  • Он собран, поставляется и полноценно функционирует на российских ОС (РЕД ОС и Астра Линукс)

  • Мы оказываем техническую поддержку всего решения и предоставляем его регулярные обновления в рамках собственного релизного цикла.

  • В ближайшее время он будет внесен в реестр российского ПО (заявка уже подана). Далее планируется работа над получением сертификата ФСТЭК.

  • Вся кодовая база хранится у нас, на территории РФ, и контролируется нами. Мы гарантируем чистоту кода, пересобираем компоненты и дополнительно устраняем уязвимости. Таким образом, мы выступаем гарантом безопасности использования всех компонентов продукта.

Как и Hashicorp Vault, StarVault можно установить на все популярные ОС, он интегрируется с Kubernetes, Docker, CI/CD-системами, системами управления конфигурациями и многим другим.

UI StarVault. Не мне судить, но инженеры заказчиков и партнёров говорят, что интерфейс гораздо удобнее, чем у самого Hashicorp Vault

UI StarVault. Не мне судить, но инженеры заказчиков и партнёров говорят, что интерфейс гораздо удобнее, чем у самого Hashicorp Vault

Функциональности StarVault включают:

  • Безопасное хранение чувствительной информации и защищённый доступ к ней. Это секреты для микросервисов Kubernetes, сертификаты, секреты для билдов CI/CD, ключи доступа к API и так далее.

  • Хранение секретов в зашифрованном виде.

  • Возможность управления пользователями и политиками.

  • Функциональность OIDC-провайдера для интеграции с внешними системами и облачными сервисами за счет сквозной аутентификации.

Миграция

Детали механизма миграции зависят от архитектуры. Но мы уже не раз проводили её и имеем план быстрой и простой миграции без даунтайма для любой инфраструктуры. Если у вас стоит Hashicorp Vault, то у нас есть сформулированная практика по миграции на StarVault именно для вашего кейса. Мы делимся нашими подходами с клиентами, а также можем мигрировать и задокументировать решение своими силами (или с привлечением наших технологических партнёров), под ключ, безболезненно для клиентской инфраструктуры. Возможно, посвятим миграции отдельную статью.

Итог

Если вам нужна российская альтернатива Hashicorp Vault, вы хотите получить безопасный и удобный продукт с минимальными приседаниями при миграции и развертывании — приходите, мы вам поможем.

В будущем мы гарантируем дальнейшее развитие StarVault, регулярные обновления, полноценную техническую поддержку на всех уровнях и важные локальные  сертификации. В ближайшем будущем планируем проверить гипотезу о том, что отечественным компаниям нужна поддержка российских криптоалгоритмов.

Что думаете? Вам надо/нет?

© Habrahabr.ru