HashiCorp Vault VPS: Secret Manager Tự Host Tại Iceland

AWS Secrets Manager, Azure Key Vault và GCP Secret Manager đều là dịch vụ managed tiện lợi nhưng có ba điểm yếu nghiêm trọng. Thứ nhất, nhà cung cấp cloud về mặt kỹ thuật có quyền truy cập KMS key của bạn. Thứ hai, secret nằm dưới jurisdiction Mỹ với CLOUD Act cho phép yêu cầu truy cập dữ liệu ở nước ngoài. Thứ ba, chi phí tăng nhanh với secret rotation tự động và nhiều API call.

Vault tự host trên VPS offshore Iceland của AnubizHost loại bỏ cả ba vấn đề. Bạn có toàn quyền master key thông qua Shamir secret sharing - cần 3/5 unseal key để mở Vault, không một cá nhân hoặc nhà cung cấp nào có thể giải mã đơn phương. Quyền root cho phép tùy biến storage backend, dùng Raft built-in hoặc tích hợp với Consul nếu cần multi-node.

VPS Pro của AnubizHost với 8GB RAM dư sức cho Vault production phục vụ 100 ứng dụng. SSD NVMe đảm bảo độ trễ thấp khi unseal hoặc rotate secret. Thanh toán Bitcoin tách biệt hoàn toàn danh tính tài chính khỏi infrastructure quan trọng nhất của bạn.

Cài Vault từ repository chính thức của HashiCorp:

wget -O- https://apt.releases.hashicorp.com/gpg | gpg --dearmor -o /usr/share/keyrings/hashicorp.gpg
echo "deb [signed-by=/usr/share/keyrings/hashicorp.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" > /etc/apt/sources.list.d/hashicorp.list
apt update && apt install -y vault

Cấu hình /etc/vault.d/vault.hcl với Raft storage và TLS:

storage "raft" {
  path    = "/opt/vault/data"
  node_id = "vault-iceland-1"
}

listener "tcp" {
  address       = "0.0.0.0:8200"
  tls_cert_file = "/etc/vault.d/cert.pem"
  tls_key_file  = "/etc/vault.d/key.pem"
}

api_addr     = "https://vault.example.com:8200"
cluster_addr = "https://vault.example.com:8201"
ui           = true

Khởi động Vault: systemctl enable --now vault. Lần đầu chạy vault operator init -key-shares=5 -key-threshold=3 để tạo 5 unseal key và root token. CHIA NHỎ unseal key cho 5 người tin cậy khác nhau, lưu trong password manager riêng biệt - đây là điều kiện sống còn để recovery khi cần. Sau đó unseal Vault với 3 trong 5 key: vault operator unseal.

Mặc định Vault dùng root token cho mọi thao tác. Production tuyệt đối không dùng root token thường xuyên - revoke ngay sau khi cấu hình ban đầu hoàn tất, chỉ regenerate khi cần qua quorum unseal key. Tạo policy chi tiết cho mỗi ứng dụng, ví dụ web-app chỉ được đọc secret/web/* mà không được tạo, xóa hay liệt kê path khác.

Audit log bắt buộc cho compliance và forensic. Bật file audit backend ghi mọi request vào /var/log/vault/audit.log, ship định kỳ về VPS bkp của AnubizHost với mã hóa GPG. Vault hash sensitive data trong audit log nhưng nên thêm syslog backend song song để tránh single point of failure.

Auto-unseal là tính năng quan trọng để Vault có thể restart không cần thao tác thủ công. Trong môi trường offshore, dùng Transit secret engine của Vault thứ hai (cũng trên VPS AnubizHost ở vị trí khác) làm seal mechanism. Cách này giữ trustless property của Shamir cho disaster recovery, nhưng cho phép restart hằng ngày diễn ra tự động. Backup snapshot Raft hằng đêm về storage offsite mã hóa giúp khôi phục toàn bộ Vault state trong vòng 30 phút khi cần.