Vault — самое популярное в мире корпоративное хранилище секретов. С 2023 года его практически невозможно использовать в российских компаниях с сохранением лицензионной чистоты из-за новых политик лицензирования его разработчика, британской компании HashiСorp.

Мы сами применяем Vault в собственных продуктах, и в 2023 году нам пришлось решать эту проблему для себя и всех, кого это касается в России. На основе материнского решения от HashiСorp мы сделали публичный продукт, аналог Vault, позволяющий компаниям соблюдать лицензионную чистоту, с поддержкой от отечественного вендора, безопасный с точки зрения размещения кодовой базы в РФ и контроля безопасности компонентов. В общем, встречайте полноценную альтернативу HashiСorp Vault, StarVault от Orion soft.

Меня зовут Максим Морарь. В Orion soft я product-owner корпоративного хранилища секретов StarVault, а также платформы Nova Container Platform, с которой связана история рождения хранилища. Я расскажу о StarVault, его появлении и сегодняшних задачах российского рынка, которые он решает. И кстати, он больше, чем просто хранилище секретов. Буду рад обратной связи в комментариях.

Итак, поехали!

Предпосылки: изменение лицензионной политики HashiCorp

Уже несколько лет мы активно работаем с HashiСorp Vault, решая ряд задач, связанных с хранением данных, в том числе делаем управление секретами более гибким.  Этот модуль выступает в качестве встроенного компонента безопасности в нашу Nova Container Platform — большую и комплексную платформу для эксплуатации контейнеризованных приложений.

В августе 2023 года компания HashiСorp изменила лицензионную политику для ряда своих продуктов, среди которых был и всеми любимый Vault. Его новые версии начали распространяться не под открытой лицензией MPL v2.0, как это было раньше, а под лицензией BSL, которая полностью открытой, как вы знаете, не является. Нужно было понять, как это влияет на дальнейшее развитие Nova и что нам теперь делать.

Новые условия использования Vault трактуют по-разному и спорят о них по сей день. Участвовать в этих спорах у меня нет желания, но мы выработали для себя трактовку, на которую опирались в решениях о дальнейшей жизни и развитии продуктов. Как и многие компании, которые заботятся о лицензионной чистоте, мы трактуем эти условия так:

  • Новые версии Vault больше нельзя использовать в составе своих продуктов, если ты с помощью них зарабатываешь деньги.

  • Новые версии Vault больше нельзя использовать в production-системах, если ты с помощью этих production-систем извлекаешь прибыль (то есть, речь почти о любых production-системах).

Это упрощенные формулировки, но они отражают суть. Если вам интересно, откуда они вытекают в юридическом смысле и почему мы сделали именно такие выводы — добро пожаловать в комментарии.

Какие у нас были варианты

Итак, мы и сотни или даже тысячи других российских компаний больше не можем использовать актуальные версии Vault, как раньше, то есть — бесплатно, потому что это нарушает лицензионную политику HashiСorp. Заплатить мы тоже не можем, потому что Hashicorp с компаниями из РФ больше не сотрудничает.

Варианта у нас с вами в этой ситуации три:

  1. Забить. Прикрыться альтернативными трактовками формулировок об условиях использования и надеяться, что вендор никогда не доберется со своими аудитами до компании из далёкой России.

  2. Искать open source-аналоги в community. Это прекрасный вариант, за исключением одного большого НО. Этих аналогов нет. Мы проанализировали все существующие решения такого класса и с уверенностью заявляем: альтернативы Vault с точки зрения функциональности, удобства использования и архитектурной привлекательности в природе не существует.

  3. Сделать собственное решение на базе Vault. Этот вариант — скорее для продуктовых ИТ-компаний, которые зарабатывают на ПО деньги.

Как вы, наверное, догадались, мы пошли по третьему пути. Забивать на лицензионную чистоту мы не хотим из принципиальных соображений. Отказываться от Vault мы, как и многие наши клиенты в РФ, тоже не готовы: если Vault используется внутри инфраструктуры или продукта, его очень тяжело оттуда выковырять. А если и получится, то вся архитектура сильно потеряет в функциональности, потому что полноценных аналогов Vault нет.

Исходя из этих соображений и наличия многолетней экспертизы в самом Vault, мы решили сделать собственное решение. Оно базируется на последней актуальной версии MPL v2.0, которая имеет ряд улучшений.

Итак, встречайте: StarVault

Окно авторизации StarVault в UI
Окно авторизации StarVault в UI

StarVault — корпоративное хранилище секретов, которое полностью поддерживает все функциональности Vault. 

StarVault рождён как компонент полностью российской платформы контейнеризации Nova, и его работа уже обкатана у десятков наших клиентов, которые используют Nova: StarVault там находится в каждом кластере. Теперь мы сделали StarVault доступным как standalone-решение. 

Под капотом StarVault — HashiСorp Vault версии 1.14.8, но:

  • Он собран, поставляется и полноценно функционирует на российских ОС (РЕД ОС и Астра Линукс)

  • Мы оказываем техническую поддержку всего решения и предоставляем его регулярные обновления в рамках собственного релизного цикла.

  • В ближайшее время он будет внесен в реестр российского ПО (заявка уже подана). Далее планируется работа над получением сертификата ФСТЭК.

  • Полностью переделан UI управления, который теперь стал значительно удобнее и привлекательнее.

  • Вся кодовая база хранится у нас, на территории РФ, и контролируется нами. Мы гарантируем чистоту кода, пересобираем компоненты и дополнительно устраняем уязвимости. Таким образом, мы выступаем гарантом безопасности использования всех компонентов продукта.

Как и HashiСorp Vault, StarVault можно установить на все популярные ОС, он интегрируется с Kubernetes, Docker, CI/CD-системами, системами управления конфигурациями и многим другим.

UI StarVault. Не мне судить, но инженеры заказчиков и партнёров говорят, что интерфейс гораздо удобнее, чем у самого HashiСorp Vault
UI StarVault. Не мне судить, но инженеры заказчиков и партнёров говорят, что интерфейс гораздо удобнее, чем у самого HashiСorp Vault

Функциональности StarVault включают:

  • Безопасное хранение чувствительной информации и защищённый доступ к ней. Это секреты для микросервисов Kubernetes, сертификаты, секреты для билдов CI/CD, ключи доступа к API и так далее.

  • Хранение секретов в зашифрованном виде.

  • Возможность управления пользователями и политиками.

  • Функциональность OIDC-провайдера для интеграции с внешними системами и облачными сервисами за счет сквозной аутентификации.

  • Полноценный сервер PKI-инфраструктуры на базе StarVault для удобного создания, управления и ротации сертификатов.

Миграция

Детали механизма миграции зависят от архитектуры. Но мы уже не раз проводили её и имеем план быстрой и простой миграции без даунтайма для любой инфраструктуры. Если у вас стоит HashiСorp Vault, то у нас есть сформулированная практика по миграции на StarVault именно для вашего кейса. Мы делимся нашими подходами с клиентами, а также можем мигрировать и задокументировать решение своими силами (или с привлечением наших технологических партнёров), под ключ, безболезненно для клиентской инфраструктуры. Возможно, посвятим миграции отдельную статью.

Итог

Если вам нужна российская альтернатива HashiСorp Vault, вы хотите получить безопасный и удобный продукт с минимальными приседаниями при миграции и развертывании — приходите, мы вам поможем.

В будущем мы гарантируем дальнейшее развитие StarVault, регулярные обновления, полноценную техническую поддержку на всех уровнях и важные локальные  сертификации. В ближайшем будущем планируем проверить гипотезу о том, что отечественным компаниям нужна поддержка российских криптоалгоритмов.

Что думаете? Вам надо/нет?

Комментарии (30)


  1. ky0
    06.05.2024 13:54
    +10

    С 2023 года его практически невозможно использовать в российских компаниях с сохранением лицензионной чистоты.

    Вы можете использовать у себя Волт как хотите - главное, не предоставляйте коммерческие сервисы на его основе (что-то типа "managed Vault"). Не выглядит как релевантное для многих ограничение.

    Hosting or using the Licensed Work(s) for internal purposes within an organization is not considered a competitive offering.

    https://www.hashicorp.com/bsl


    1. MaxMorar Автор
      06.05.2024 13:54

      Всё это вопрос трактовки условий лицензии под которой сейчас распространяются новые версии Vault. 

      Если опираться на формулировки самой BSL, то они говорят нам о следующем:

      The Licensor hereby grants you the right to copy, modify, create derivative works, redistribute, and make non-production use of the Licensed Work. The Licensor may make an Additional Use Grant, above, permitting limited production use.

      Ключевой момент на который нам стоит обратить особое внимание: "non-production use of the Licensed Work" — использование в непроизводственных целях. 

      К примеру, является ли использование Vault в production-среде крупной нефтегазовой компании нарушением условий BSL лицензии? 

      На наш взгляд — да, является.

      Понятно, что компания не зарабатывает деньги напрямую на Vault или какой-либо модификации, но использует его в своей production-среде с конечной целью извлечения прибыли через продажу нефти, газа и прочего сырья. 

      Почти любая production-среда компании существует с целью извлечения прибыли. Соответственно, условие «non-production use» не выполняется. 

      (если, конечно, не получена отдельная лицензия / разрешение от вендора на использование в производственных целях)

      Я прекрасно понимаю, что многие могут не согласиться с такой трактовкой, но отмечу, что ряд ведущих российских компаний с развитым комплаенс разделяют озвученное мнение.


      1. ky0
        06.05.2024 13:54
        +8

        К примеру, является ли использование Vault в production-среде крупной нефтегазовой компании нарушением условий BSL лицензии? 

        На наш взгляд — да, является.

        Для нефтегазовой компании источник дохода - извлечение из земли и продажа углеводородов, а Волт если и используется - то в инфраструктурных целях, что подходит под "internal purposes within an organization".

        Я вовсе не против православных форков, я против натягиваний сов на глобусы, когда стремление получить денег на волне импортозамещения прикрывают "плохими разработчиками, испортившими лицензию".


        1. MaxMorar Автор
          06.05.2024 13:54

          Я вас прекрасно понимаю.

          Так или иначе, вопрос трактовок условий BSL и прочих каждая компания решает индивидуально.


      1. lyova
        06.05.2024 13:54
        +6

        В лицензии Vault дополнительно к самой BSL, есть Additional Use Grant, то есть дополнительные по сравнению с BSL правомочия. В этом разделе прямо сказано, что можно использовать Vault в продакшене, если не берешь денег с третьих лиц, то есть не конкурируешь с платной лицензией HashiCorp.

        You may make production use of the Licensed Work, provided
        Your use does not include offering the Licensed Work to third
        parties on a hosted or embedded basis in order to compete with
        HashiCorp's paid version(s) of the Licensed Work.

        Вот тут HashiCorp пишет, что изменениями будут затронуты только конкурирующие с ними организации.


  1. daggert
    06.05.2024 13:54
    +10

    Тут с одного чата попросили вам скинуть ссылку:
    https://www.tadviser.ru/index.php/Продукт:AT_Consulting:_ЦУП_2.0_Модуль_управления_секретами


  1. Ign0r
    06.05.2024 13:54
    +7

    Пока видно только фиксацию состояния "до смены лицензии" и дальнейшую эксплуатацию имеющихся наработок. При этом поддержка российских ОС - наверно неплохо, но как-то маловато. Что дальше-то делать будете с этим? Куда двигаться и какими силами? Добавлять поддержку российских криптопримитивов? Пилить еще один форк бэкэнда на замену Consul? Перепишите Terraform (OpenTofu) провайдер для своего форка? Предложите свое облако взамен HCP? Что в перспективе? Или это временное решение в ожидании релизов OpenBao?


    1. MaxMorar Автор
      06.05.2024 13:54
      +1

      Забираем на себя всю поддержку и обновления ПО StarVault. 

      В будущем планируем добавление поддержки российских криптоалгоритмов, сертификацию во ФСТЭК и поддержку бОльшего количества российских ОС. 

      В сторону собственного облака пока не смотрим.


  1. resetsa
    06.05.2024 13:54
    +9

    Отлично! Ну теперь пойдут продажи.

    Сарказм.

    Очередной OpenSource превращенный чудесным образом в новый Отечественный продукт.

    А, забыл, UI переписали, только вот вопрос, насколько это актуально. Обычно API используют, UI никогда не был в приоритете.


    1. Abyss777
      06.05.2024 13:54

      У нас и роботы и люди его используют, так что в UI очень не хватает поиска например.


    1. MaxMorar Автор
      06.05.2024 13:54
      +3

      На самом деле не совсем так. Многие команды, даже в очень крупных компаниях РФ активно используют UI в своей повседневной работе. При этом работу через API никто конечно не отменял. 

      Важно понимать, что помимо переписанного UI, добавлена поддержка российских ОС, реализована адекватная работа продукта и обновления в закрытых контурах, плюс - мы полностью закрываем слой технической поддержки всех компонентов продукта. 

      Для многих компаний это действительно важно.


      1. SergeyMax
        06.05.2024 13:54
        +4

        добавлена поддержка российских ОС

        Дак эти ОС такие же российские, как и ваш продукт.


  1. funca
    06.05.2024 13:54
    +11

    Искать open source-аналоги в community. Это прекрасный вариант, за исключением одного большого НО. Этих аналогов нет. Мы проанализировали все существующие решения такого класса и с уверенностью заявляем: альтернативы Vault с точки зрения функциональности, удобства использования и архитектурной привлекательности в природе не существует.

    Существует https://github.com/openbao/openbao - форк Vault с открытой лицензией, исходниками и понятным прайсом (бесплатно). А что есть у вас, кроме уверенных заявлений, - непонятно.