Vault — самое популярное в мире корпоративное хранилище секретов. С 2023 года его практически невозможно использовать в российских компаниях с сохранением лицензионной чистоты из-за новых политик лицензирования его разработчика, британской компании HashiСorp.
Мы сами применяем Vault в собственных продуктах, и в 2023 году нам пришлось решать эту проблему для себя и всех, кого это касается в России. На основе материнского решения от HashiСorp мы сделали публичный продукт, аналог Vault, позволяющий компаниям соблюдать лицензионную чистоту, с поддержкой от отечественного вендора, безопасный с точки зрения размещения кодовой базы в РФ и контроля безопасности компонентов. В общем, встречайте полноценную альтернативу HashiСorp Vault, StarVault от Orion soft.
Меня зовут Максим Морарь. В Orion soft я product-owner корпоративного хранилища секретов StarVault, а также платформы Nova Container Platform, с которой связана история рождения хранилища. Я расскажу о StarVault, его появлении и сегодняшних задачах российского рынка, которые он решает. И кстати, он больше, чем просто хранилище секретов. Буду рад обратной связи в комментариях.
Итак, поехали!
Предпосылки: изменение лицензионной политики HashiCorp
Уже несколько лет мы активно работаем с HashiСorp Vault, решая ряд задач, связанных с хранением данных, в том числе делаем управление секретами более гибким. Этот модуль выступает в качестве встроенного компонента безопасности в нашу Nova Container Platform — большую и комплексную платформу для эксплуатации контейнеризованных приложений.
В августе 2023 года компания HashiСorp изменила лицензионную политику для ряда своих продуктов, среди которых был и всеми любимый Vault. Его новые версии начали распространяться не под открытой лицензией MPL v2.0, как это было раньше, а под лицензией BSL, которая полностью открытой, как вы знаете, не является. Нужно было понять, как это влияет на дальнейшее развитие Nova и что нам теперь делать.
Новые условия использования Vault трактуют по-разному и спорят о них по сей день. Участвовать в этих спорах у меня нет желания, но мы выработали для себя трактовку, на которую опирались в решениях о дальнейшей жизни и развитии продуктов. Как и многие компании, которые заботятся о лицензионной чистоте, мы трактуем эти условия так:
Новые версии Vault больше нельзя использовать в составе своих продуктов, если ты с помощью них зарабатываешь деньги.
Новые версии Vault больше нельзя использовать в production-системах, если ты с помощью этих production-систем извлекаешь прибыль (то есть, речь почти о любых production-системах).
Это упрощенные формулировки, но они отражают суть. Если вам интересно, откуда они вытекают в юридическом смысле и почему мы сделали именно такие выводы — добро пожаловать в комментарии.
Какие у нас были варианты
Итак, мы и сотни или даже тысячи других российских компаний больше не можем использовать актуальные версии Vault, как раньше, то есть — бесплатно, потому что это нарушает лицензионную политику HashiСorp. Заплатить мы тоже не можем, потому что Hashicorp с компаниями из РФ больше не сотрудничает.
Варианта у нас с вами в этой ситуации три:
Забить. Прикрыться альтернативными трактовками формулировок об условиях использования и надеяться, что вендор никогда не доберется со своими аудитами до компании из далёкой России.
Искать open source-аналоги в community. Это прекрасный вариант, за исключением одного большого НО. Этих аналогов нет. Мы проанализировали все существующие решения такого класса и с уверенностью заявляем: альтернативы Vault с точки зрения функциональности, удобства использования и архитектурной привлекательности в природе не существует.
Сделать собственное решение на базе Vault. Этот вариант — скорее для продуктовых ИТ-компаний, которые зарабатывают на ПО деньги.
Как вы, наверное, догадались, мы пошли по третьему пути. Забивать на лицензионную чистоту мы не хотим из принципиальных соображений. Отказываться от Vault мы, как и многие наши клиенты в РФ, тоже не готовы: если Vault используется внутри инфраструктуры или продукта, его очень тяжело оттуда выковырять. А если и получится, то вся архитектура сильно потеряет в функциональности, потому что полноценных аналогов Vault нет.
Исходя из этих соображений и наличия многолетней экспертизы в самом Vault, мы решили сделать собственное решение. Оно базируется на последней актуальной версии MPL v2.0, которая имеет ряд улучшений.
Итак, встречайте: StarVault
StarVault — корпоративное хранилище секретов, которое полностью поддерживает все функциональности Vault.
StarVault рождён как компонент полностью российской платформы контейнеризации Nova, и его работа уже обкатана у десятков наших клиентов, которые используют Nova: StarVault там находится в каждом кластере. Теперь мы сделали StarVault доступным как standalone-решение.
Под капотом StarVault — HashiСorp Vault версии 1.14.8, но:
Он собран, поставляется и полноценно функционирует на российских ОС (РЕД ОС и Астра Линукс)
Мы оказываем техническую поддержку всего решения и предоставляем его регулярные обновления в рамках собственного релизного цикла.
В ближайшее время он будет внесен в реестр российского ПО (заявка уже подана). Далее планируется работа над получением сертификата ФСТЭК.
Полностью переделан UI управления, который теперь стал значительно удобнее и привлекательнее.
Вся кодовая база хранится у нас, на территории РФ, и контролируется нами. Мы гарантируем чистоту кода, пересобираем компоненты и дополнительно устраняем уязвимости. Таким образом, мы выступаем гарантом безопасности использования всех компонентов продукта.
Как и HashiСorp Vault, StarVault можно установить на все популярные ОС, он интегрируется с Kubernetes, Docker, CI/CD-системами, системами управления конфигурациями и многим другим.
Функциональности StarVault включают:
Безопасное хранение чувствительной информации и защищённый доступ к ней. Это секреты для микросервисов Kubernetes, сертификаты, секреты для билдов CI/CD, ключи доступа к API и так далее.
Хранение секретов в зашифрованном виде.
Возможность управления пользователями и политиками.
Функциональность OIDC-провайдера для интеграции с внешними системами и облачными сервисами за счет сквозной аутентификации.
Полноценный сервер PKI-инфраструктуры на базе StarVault для удобного создания, управления и ротации сертификатов.
Миграция
Детали механизма миграции зависят от архитектуры. Но мы уже не раз проводили её и имеем план быстрой и простой миграции без даунтайма для любой инфраструктуры. Если у вас стоит HashiСorp Vault, то у нас есть сформулированная практика по миграции на StarVault именно для вашего кейса. Мы делимся нашими подходами с клиентами, а также можем мигрировать и задокументировать решение своими силами (или с привлечением наших технологических партнёров), под ключ, безболезненно для клиентской инфраструктуры. Возможно, посвятим миграции отдельную статью.
Итог
Если вам нужна российская альтернатива HashiСorp Vault, вы хотите получить безопасный и удобный продукт с минимальными приседаниями при миграции и развертывании — приходите, мы вам поможем.
В будущем мы гарантируем дальнейшее развитие StarVault, регулярные обновления, полноценную техническую поддержку на всех уровнях и важные локальные сертификации. В ближайшем будущем планируем проверить гипотезу о том, что отечественным компаниям нужна поддержка российских криптоалгоритмов.
Что думаете? Вам надо/нет?
Комментарии (30)
daggert
06.05.2024 13:54+10Тут с одного чата попросили вам скинуть ссылку:
https://www.tadviser.ru/index.php/Продукт:AT_Consulting:_ЦУП_2.0_Модуль_управления_секретами
Ign0r
06.05.2024 13:54+7Пока видно только фиксацию состояния "до смены лицензии" и дальнейшую эксплуатацию имеющихся наработок. При этом поддержка российских ОС - наверно неплохо, но как-то маловато. Что дальше-то делать будете с этим? Куда двигаться и какими силами? Добавлять поддержку российских криптопримитивов? Пилить еще один форк бэкэнда на замену Consul? Перепишите Terraform (OpenTofu) провайдер для своего форка? Предложите свое облако взамен HCP? Что в перспективе? Или это временное решение в ожидании релизов OpenBao?
MaxMorar Автор
06.05.2024 13:54+1Забираем на себя всю поддержку и обновления ПО StarVault.
В будущем планируем добавление поддержки российских криптоалгоритмов, сертификацию во ФСТЭК и поддержку бОльшего количества российских ОС.
В сторону собственного облака пока не смотрим.
resetsa
06.05.2024 13:54+9Отлично! Ну теперь пойдут продажи.
Сарказм.
Очередной OpenSource превращенный чудесным образом в новый Отечественный продукт.
А, забыл, UI переписали, только вот вопрос, насколько это актуально. Обычно API используют, UI никогда не был в приоритете.
Abyss777
06.05.2024 13:54У нас и роботы и люди его используют, так что в UI очень не хватает поиска например.
MaxMorar Автор
06.05.2024 13:54+3На самом деле не совсем так. Многие команды, даже в очень крупных компаниях РФ активно используют UI в своей повседневной работе. При этом работу через API никто конечно не отменял.
Важно понимать, что помимо переписанного UI, добавлена поддержка российских ОС, реализована адекватная работа продукта и обновления в закрытых контурах, плюс - мы полностью закрываем слой технической поддержки всех компонентов продукта.
Для многих компаний это действительно важно.
SergeyMax
06.05.2024 13:54+4добавлена поддержка российских ОС
Дак эти ОС такие же российские, как и ваш продукт.
funca
06.05.2024 13:54+11Искать open source-аналоги в community. Это прекрасный вариант, за исключением одного большого НО. Этих аналогов нет. Мы проанализировали все существующие решения такого класса и с уверенностью заявляем: альтернативы Vault с точки зрения функциональности, удобства использования и архитектурной привлекательности в природе не существует.
Существует https://github.com/openbao/openbao - форк Vault с открытой лицензией, исходниками и понятным прайсом (бесплатно). А что есть у вас, кроме уверенных заявлений, - непонятно.
ky0
Вы можете использовать у себя Волт как хотите - главное, не предоставляйте коммерческие сервисы на его основе (что-то типа "managed Vault"). Не выглядит как релевантное для многих ограничение.
MaxMorar Автор
Всё это вопрос трактовки условий лицензии под которой сейчас распространяются новые версии Vault.
Если опираться на формулировки самой BSL, то они говорят нам о следующем:
Ключевой момент на который нам стоит обратить особое внимание: "non-production use of the Licensed Work" — использование в непроизводственных целях.
К примеру, является ли использование Vault в production-среде крупной нефтегазовой компании нарушением условий BSL лицензии?
На наш взгляд — да, является.
Понятно, что компания не зарабатывает деньги напрямую на Vault или какой-либо модификации, но использует его в своей production-среде с конечной целью извлечения прибыли через продажу нефти, газа и прочего сырья.
Почти любая production-среда компании существует с целью извлечения прибыли. Соответственно, условие «non-production use» не выполняется.
(если, конечно, не получена отдельная лицензия / разрешение от вендора на использование в производственных целях)
Я прекрасно понимаю, что многие могут не согласиться с такой трактовкой, но отмечу, что ряд ведущих российских компаний с развитым комплаенс разделяют озвученное мнение.
ky0
Для нефтегазовой компании источник дохода - извлечение из земли и продажа углеводородов, а Волт если и используется - то в инфраструктурных целях, что подходит под "internal purposes within an organization".
Я вовсе не против православных форков, я против натягиваний сов на глобусы, когда стремление получить денег на волне импортозамещения прикрывают "плохими разработчиками, испортившими лицензию".
MaxMorar Автор
Я вас прекрасно понимаю.
Так или иначе, вопрос трактовок условий BSL и прочих каждая компания решает индивидуально.
lyova
В лицензии Vault дополнительно к самой BSL, есть Additional Use Grant, то есть дополнительные по сравнению с BSL правомочия. В этом разделе прямо сказано, что можно использовать Vault в продакшене, если не берешь денег с третьих лиц, то есть не конкурируешь с платной лицензией HashiCorp.
Вот тут HashiCorp пишет, что изменениями будут затронуты только конкурирующие с ними организации.