Vault и бэкап секретов на офшорном VPS

HashiCorp Vault - инструмент для централизованного управления секретами в современной инфраструктуре. Вместо разбросанных по конфигам паролей, ключей и токенов Vault хранит их в зашифрованном виде в одном месте и выдаёт приложениям по запросу с аутентификацией и аудитом. Поддерживаются динамические секреты (Vault создаёт временные учётные данные для базы данных), шифрование как сервис (приложение шлёт в Vault данные и получает зашифрованные блобы), управление PKI (Vault выступает удостоверяющим центром для внутренних сертификатов) и многое другое. Для команды или индивидуального разработчика Vault на офшорном VPS даёт несколько преимуществ. Во-первых, секреты не уходят в публичное облако и не подвергаются content scanning. Во-вторых, юрисдикция Исландии или Румынии вне 14 Eyes защищает от принудительного раскрытия в США или ЕС. В-третьих, Anubiz Host не требует KYC, что исключает связь Vault-аккаунта с личностью владельца.

Vault - один Go-бинарь без внешних зависимостей, поэтому установка проста. Скачайте бинарь с официального сайта или установите пакет vault из репозитория HashiCorp. Создайте systemd-сервис vault.service с пользователем vault, конфигом /etc/vault.d/vault.hcl и storage backend. Для одного узла подходит integrated storage (Raft) - встроенный backend, не требующий внешней базы. Для нескольких узлов с HA используется Consul или Raft с несколькими репликами. Конфиг указывает listener на 127.0.0.1:8200 (наружу не торчит) с TLS, storage backend, telemetry для Prometheus и cluster_name. После старта Vault находится в запечатанном состоянии и требует инициализации командой vault operator init, которая выдаёт unseal keys (по умолчанию 5 шт., нужно 3 для распечатывания) и root token. Эти ключи и токен критически важно сохранить вне Vault, желательно в виде Shamir's Secret Sharing между доверенными людьми или офлайн-хранилищах.

Vault с Raft storage поддерживает встроенные снапшоты через команду vault operator raft snapshot save backup.snap. Этот файл содержит полное состояние Vault в зашифрованном виде и может быть восстановлен на чистый Vault через vault operator raft snapshot restore. Anubiz Host рекомендует автоматизировать создание снапшотов раз в час cron-задачей и отправлять их через restic или borg в офшорный backup-репозиторий на другом VPS. Двухслойная схема (Vault на одном VPS, бэкапы Vault на другом VPS в другом дата-центре) защищает от физической потери первого узла. Снапшоты сами по себе зашифрованы Vault-ом, но дополнительное шифрование на уровне restic даёт второй слой защиты. Unseal keys и root token хранятся отдельно от снапшотов: восстановление Vault из снапшота требует и файла, и unseal keys. Эта разделённость снижает риск компрометации: атакующий, получивший доступ к одному компоненту, не может восстановить работающий Vault без второго. Anubiz Host даёт безлимитный трафик и NVMe-диски, что делает такие двухслойные схемы быстрыми и предсказуемыми.