Как хранятся секреты в BI.ZONE PAM?

Хранение секретов в BI.ZONE Vault:

снижает риски утечки долгоживущих секретов,
обеспечивает соответствие требованиям регуляторов по смене паролей и ключей.
исключает ручное управление секретами.
позволяет использовать существующую LDAP/AD-инфраструктуру для управления доступом.

Хранение секретов

Для хранения секретов в BI.ZONE Vault используется несколько движков:

KV2 Secrets Engine

Ротация паролей/токенов. Автоматическая генерация новых версий секретов.
Версионность. Хранение истории изменений с настраиваемым количеством ревизий.

SSH Secrets Engine

Короткоживущие сертификаты. Сертификаты с TTL (например, 1 час) для пользователей и хостов.
Динамические ключи. Автоматическая замена ключей серверов через Vault Agent.
Сертификаты подписываются Vault CA.
Серверы доверяют Vault CA через TrustedUserCAKeys в sshd_config.

LDAP engine

Настройка Vault для связи с LDAP/AD (URL, сертификаты, bind-аккаунт).
Привязка групп LDAP к политикам BI.ZONE Vault, автоматическое назначение прав доступа на основе членства в группах.

Как работают MFA-подключения по персональным сертификатам?

Как работает логирование текстовых команд в сессии?