В Сбере больше 1500 команд, разрабатывающих и поддерживающих около 2000 автоматизированных систем (АС). Эти АС используют компоненты стандартного технологического стека от операционной системы, систем управления виртуализацией и контейнерами, до Middleware и баз данных. АС регулярно масштабируются, команды создают новые и выводят старые микросервисы, технологический стек меняется под влиянием внешних и внутренних факторов. Один из актуальных факторов – импортозамещение. Управление доступом к компонентам технологического стека и между ними сложный технический вопрос не только для Сбера и его большой инфраструктуры, но и для других компаний в России и мире. Перед нами стояла задача решить эту задачу для более 500 000 экземпляров компонентов тех стека и не только автоматизировать предоставление доступа и создания технических и привилегированных учетных записей, но и управление их жизненным циклом, ролями, полномочиями и секретами.

В рамках доклада мы разберем:

- Организацию учета, продуктов, компонентов, и др., а так же как вести привязку команд сопровождения и развития;
- Организацию ролей и учетных записей в IGA;
- Что такое PAM и Vault, передачу секрета УЗ под управление в эти системы;
- Управление доступом к Vault и PAM из IGA, разделение ролей;
- Управление доступом на примере Linux. Централизованная аутентификация vs ssh-ключи. Управления sudo. Разграничение доступа.
- Как использовать Vault для работы с сертификатами, магия istio + vault agent;
- Преимущества и недостатки внедрения такой автоматизации.