Как мы учились управлять миллионами учетных записей и их секретами. Объединяем IGA, PAM и Vault

Безопасность

Архитектуры / другое
Управление конфигурацией
Непрерывное развертывание и деплой
Автоматизация разработки, доставки, эксплуатации
Микросервисы
DevOps / Кубер
Инфраструктура
Безопасность инфраструктуры

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Всегда полезно погрузиться в чужой опыт управления сложной и большой инфраструктурой. В докладе вы сможете узнать об особенностях стройной системы управления доступом. Не только создание привилегированных учетных записей, но и полный жизненный цикл с ролями, полномочиями и секретами.

Целевая аудитория

Архитекторы, SRE, DevOps-инженеры; а также все те, кто готовит инфраструктуру для использования другими командами, управляет процессами и безопасностью.

Тезисы

В Сбере больше 1500 команд, разрабатывающих и поддерживающих около 2000 автоматизированных систем (АС). Эти АС используют компоненты стандартного технологического стека от операционной системы, систем управления виртуализацией и контейнерами до Middleware и баз данных. АС регулярно масштабируются, команды создают новые и выводят старые микросервисы, технологический стек меняется под влиянием внешних и внутренних факторов. Один из актуальных факторов – импортозамещение. Управление доступом к компонентам технологического стека и между ними сложный технический вопрос не только для Сбера и его большой инфраструктуры, но и для других компаний в России и мире. Перед нами стояла задача решить эту задачу для более 500 000 экземпляров компонентов техстека и не только автоматизировать предоставление доступа и создания технических и привилегированных учетных записей, но и управление их жизненным циклом, ролями, полномочиями и секретами.

В рамках доклада мы разберем:
* организацию учета, продуктов, компонентов и др., а также как вести привязку команд сопровождения и развития;
* организацию ролей и учетных записей в IGA;
* что такое PAM и Vault, передачу секрета УЗ под управление в эти системы;
* управление доступом к Vault и PAM из IGA, разделение ролей;
* управление доступом на примере Linux. Централизованная аутентификация vs ssh-ключи. Управления sudo. Разграничение доступа;
* как использовать Vault для работы с сертификатами, магия istio + vault agent;
* преимущества и недостатки внедрения такой автоматизации.

Руководитель нескольких команд развития сервисов DevSecOps. Более 10 лет занимался разработкой ITSM-процессов и их автоматизацией для различных компаний, в т.ч. для МегаФона, ДВФУ, Балтики, работая в интеграторе, затем в Сбербанке.

Сбер

Сбер — это современный стек технологий, драйвовые проекты и команда единомышленников. У них около 3 000 продуктовых команд и огромное профессиональное IT-сообщество. Работают над созданием удобных онлайн-сервисов в самых разных сферах.

Видео

Другие доклады секции

Безопасность