Может ли администратор сервера Vault прочитать секреты другой команды?

Question

[Iceforest]

У нас несколько команд и один общий hashicorp vault, у каждый команды свой namespace, другие команды не имеют доступы к нашим секретам . Не могу найти информацию может ли администратор сервера vault ( так у него права суперпользователя) прочитать секреты любой команды?

Comments

[shurshur]

Если у вас это кого-то так сильно парит - можно вообще поднимать отдельный инстанс vault для каждой команды.

Answer 1

[rPman]

Безотносительно к тому какой софт используется (не важно что там vault или любой другой проект), тот кто владеет доступом к веб серверу (который предоставляет интерфейс пользователя) или доступом к публикации мобильного приложения (тот кто выкладывает его в аппсторы) может добавить к приложению троян, собирающую любую необходимую информацию.

Это очень сложно проверить и доказать, веб интерфейс вообще может для конкретного человека быть персонально модифицирован. Готовых инструментов чтобы это отследить - нет (это должны делать браузеры и разработчики стандартов, но ни один крупный их разработчик не пошевелится, все хотят обладать этой властью и ни с кем не делиться, то как бодренько выпилили из всех браузеров свободную установку плагинов это показывает)

Теперь по вопросу. Есть ли у них готовые инструменты для администраторов/модераторов - маловероятно, но судя по тому сколько грязного белья Маск выкатывает по твиттеру, чем другие площадки 'хуже'?