Le saviez-vous ?
Glossaire ABAC (Attribute-Based Access Control)

Modèle de contrôle d'accès dynamique où les droits sont accordés en fonction des attributs de l'utilisateur, de la resso...

Article suggéré Pourquoi collecter des métriques

Découvrez les raisons clés pour collecter des métriques avec des exemples concrets pour chaque cas.

En savoir plus
  1. Accueil
  2. Articles

Dynatrace Credential Vault : Sécuriser et gérer vos secrets

Publié le : 21/11/2024 à 09:00 Vues : 510

Découvrez comment l'application Credential Vault de Dynatrace permet de gérer de manière sécurisée vos mots de passe, tokens et certificats pour vos scénarios Synthetic, Extensions et applications AppEngine.

1. Qu'est-ce que l'application Credential Vault ?

Introduction au coffre-fort de secrets intégré à la plateforme Dynatrace.

Un stockage sécurisé et centralisé

Dans le domaine de l'observabilité, inscrire des mots de passe en dur (hardcoding) dans des scripts de test ou des configurations d'agents constitue une faille de sécurité majeure. L'application Credential Vault (Coffre-fort d'identifiants) de Dynatrace résout ce problème en offrant un emplacement centralisé et hautement sécurisé pour stocker vos secrets (mots de passe, tokens API, certificats). Ces secrets peuvent ensuite être référencés dynamiquement par les différents composants de l'écosystème Dynatrace sans jamais exposer leurs valeurs en texte clair aux utilisateurs.

2. Les principaux cas d'utilisation

Où et comment les secrets stockés dans le Credential Vault sont-ils exploités dans Dynatrace ?

Synthetic Monitoring

C'est l'un des cas d'usage les plus fréquents. Si vous configurez un scénario de test automatisé (HTTP Monitor ou Browser Monitor) qui nécessite une authentification (Basic Auth, formulaire de login, etc.), il est impératif d'utiliser le Credential Vault. Lors de l'exécution, le robot récupérera de manière invisible les identifiants pour simuler la connexion.

👉 Pour en savoir plus sur la création de ces scénarios, consultez notre article détaillé : Dynatrace Synthetic Monitoring : Guide complet (Article 51).

Extensions 2.0 (Authentification de la collecte)

Lorsque vous déployez une Extension Dynatrace pour superviser une technologie spécifique (comme une base de données Oracle/SQL Server, des équipements réseau SNMP, ou des API tierces), l'ActiveGate a besoin d'identifiants pour se connecter à ces cibles. Le Credential Vault distribue ces informations à l'extension de manière sécurisée directement sur le point de surveillance.

AppEngine (Custom Apps)

Avec le framework Dynatrace AppEngine, vous pouvez développer des applications sur-mesure s'exécutant directement sur la plateforme. Si votre application a besoin de communiquer avec une API externe (par exemple pour ouvrir un ticket Jira ou interroger ServiceNow), l'AppEngine s'appuiera sur le Credential Vault pour injecter les tokens d'API nécessaires au niveau du backend, évitant ainsi au développeur d'embarquer les secrets dans le code source de l'application.

3. Interaction avec des solutions Vault externes

L'intégration transparente avec les coffres-forts d'entreprise existants.

Synchronisation (Single Source of Truth)

Les entreprises disposent bien souvent déjà de leur propre système de gestion des secrets. Dynatrace ne vous oblige pas à dupliquer ces identifiants et prendre le risque qu'ils se désynchronisent. Le Credential Vault s'intègre nativement avec les solutions majeures du marché :

  • Azure Key Vault : Intégration cloud-native pour récupérer les secrets stockés dans votre environnement Microsoft Azure.
  • HashiCorp Vault : Support des moteurs de secrets HashiCorp, le standard de facto dans les environnements DevOps et Kubernetes.
  • CyberArk Vault : Intégration avec l'une des solutions leaders de la gestion des accès à privilèges (PAM) pour les environnements exigeant une très haute sécurité.

Grâce à ces intégrations, Dynatrace va interroger ces plateformes en temps réel ou se synchroniser avec elles. Ainsi, lorsqu'une politique de sécurité force la rotation mensuelle d'un mot de passe métier dans CyberArk, Dynatrace prend immédiatement en compte la nouvelle valeur de manière transparente.

4. Gestion des accès aux credentials créés

Contrôler de manière granulaire qui peut voir et manipuler vos identifiants.

Séparation des privilèges et Scopes

Stocker un secret est essentiel, mais contrôler son utilisation l'est tout autant. Dynatrace applique des règles strictes sur le Credential Vault :

  • Droits d'utilisation vs Droits de lecture : Un utilisateur (ou un groupe) peut recevoir l'autorisation d'utiliser un identifiant (pour l'attacher à un moniteur synthétique, par exemple) sans jamais avoir l'autorisation de lire sa valeur ou son mot de passe en clair.
  • Portées (Scopes) : Lors de la création d'un credential, vous définissez sa portée. Par exemple, vous pouvez configurer un secret pour qu'il ne soit utilisable uniquement par des Extensions, le bloquant ainsi pour le Synthetic Monitoring. Cela empêche le détournement de comptes de services sensibles.
  • RBAC et Audit : Accouplée au système de gestion des accès basé sur les rôles (RBAC) de Dynatrace, chaque interaction (création, modification, utilisation) avec un credential est historisée dans les journaux d'audit de la plateforme.
Lien copié dans le presse-papiers !