Le saviez-vous ?
Glossaire Logstash

Moteur de collecte de données permettant de traiter, d'enrichir et de transformer les logs et autres événements avant de...

Formations associées : Logstash
Article suggéré Soutien Logistique Intégré

Soutien Logistique Intégré (SLI) (L'Integrated Logistics Support (ILS) en anglais), est une approche...

En savoir plus
  1. Accueil
  2. Articles

Dynatrace Credential Vault : Sécuriser et gérer vos secrets

Publié le : 21/11/2024 à 09:00 Vues : 546

Découvrez comment l'application Credential Vault de Dynatrace permet de gérer de manière sécurisée vos mots de passe, tokens et certificats pour vos scénarios Synthetic, Extensions et applications AppEngine.

1. Qu'est-ce que l'application Credential Vault ?

Introduction au coffre-fort de secrets intégré à la plateforme Dynatrace.

Un stockage sécurisé et centralisé

Dans le domaine de l'observabilité, inscrire des mots de passe en dur (hardcoding) dans des scripts de test ou des configurations d'agents constitue une faille de sécurité majeure. L'application Credential Vault (Coffre-fort d'identifiants) de Dynatrace résout ce problème en offrant un emplacement centralisé et hautement sécurisé pour stocker vos secrets (mots de passe, tokens API, certificats). Ces secrets peuvent ensuite être référencés dynamiquement par les différents composants de l'écosystème Dynatrace sans jamais exposer leurs valeurs en texte clair aux utilisateurs.

2. Les différents types d'identifiants (Credential type)

Dynatrace permet de stocker plusieurs formats de secrets adaptés aux besoins techniques variés.

Username/password

C'est le type le plus classique, utilisé principalement pour les authentifications de type Basic Auth ou pour remplir des formulaires de connexion dans les moniteurs de navigation (Browser Monitors).

Token

Permet de stocker des jetons d'accès ou des clés d'API. Ce format est particulièrement utilisé pour les interactions entre services ou pour les extensions qui interrogent des API REST.

Certificat

Utilisé pour stocker des certificats SSL/TLS ou des clés privées SSH. C'est indispensable pour les moniteurs synthétiques vérifiant des endpoints sécurisés par certificat client ou pour les extensions accédant à des serveurs via SSH.

Public certificate

Permet de stocker des certificats publics (au format PEM). Ce type est utilisé pour établir une chaîne de confiance SSL/TLS lors de la connexion à des services utilisant des certificats émis par des autorités de certification internes ou privées.

3. Les principaux cas d'utilisation

Où et comment les secrets stockés dans le Credential Vault sont-ils exploités dans Dynatrace ?

Synthetic Monitoring

C'est l'un des cas d'usage les plus fréquents. Si vous configurez un scénario de test automatisé (HTTP Monitor ou Browser Monitor) qui nécessite une authentification (Basic Auth, formulaire de login, etc.), il est impératif d'utiliser le Credential Vault. Lors de l'exécution, le robot récupérera de manière invisible les identifiants pour simuler la connexion.

👉 Pour en savoir plus sur la création de ces scénarios, consultez notre article détaillé : Dynatrace Synthetic Monitoring : Guide complet (Article 51).

Extensions 2.0 (Authentification de la collecte)

Lorsque vous déployez une Extension Dynatrace pour superviser une technologie spécifique (comme une base de données Oracle/SQL Server, des équipements réseau SNMP, ou des API tierces), l'ActiveGate a besoin d'identifiants pour se connecter à ces cibles. Le Credential Vault distribue ces informations à l'extension de manière sécurisée directement sur le point de surveillance.

AppEngine (Custom Apps)

Avec le framework Dynatrace AppEngine, vous pouvez développer des applications sur-mesure s'exécutant directement sur la plateforme. Si votre application a besoin de communiquer avec une API externe (par exemple pour ouvrir un ticket Jira ou interroger ServiceNow), l'AppEngine s'appuiera sur le Credential Vault pour injecter les tokens d'API nécessaires au niveau du backend, évitant ainsi au développeur d'embarquer les secrets dans le code source de l'application.

Tableau récapitulatif des portées (Scopes)

Le tableau ci-dessous résume les différentes portées (scopes) disponibles lors de la création d'un identifiant :

Portée (Scope)UtilisationCredential
SyntheticMoniteurs synthétiques (Browser et HTTP).Username/password, Token, Certificat
ExtensionExtensions Dynatrace (Extensions 2.0).Username/password, Public certificate
AppEngineApplications personnalisées développées sur AppEngine.Username/password, Token, Certificat, Public certificate
MonitoringParamètres système nécessitant des identifiants (VMware, Kubernetes, etc.).Username/password, Token

4. Interaction avec des solutions Vault externes

L'intégration transparente avec les coffres-forts d'entreprise existants.

Synchronisation (Single Source of Truth)

Les entreprises disposent bien souvent déjà de leur propre système de gestion des secrets. Dynatrace ne vous oblige pas à dupliquer ces identifiants et prendre le risque qu'ils se désynchronisent. Le Credential Vault s'intègre nativement avec les solutions majeures du marché :

  • Azure Key Vault : Intégration cloud-native pour récupérer les secrets stockés dans votre environnement Microsoft Azure.
  • HashiCorp Vault : Support des moteurs de secrets HashiCorp, le standard de facto dans les environnements DevOps et Kubernetes.
  • CyberArk Vault : Intégration avec l'une des solutions leaders de la gestion des accès à privilèges (PAM) pour les environnements exigeant une très haute sécurité.

Grâce à ces intégrations, Dynatrace va interroger ces plateformes en temps réel ou se synchroniser avec elles. Ainsi, lorsqu'une politique de sécurité force la rotation mensuelle d'un mot de passe métier dans CyberArk, Dynatrace prend immédiatement en compte la nouvelle valeur de manière transparente.

5. Gestion des accès aux credentials créés

Contrôler de manière granulaire qui peut voir et manipuler vos identifiants.

Séparation des privilèges et Scopes

Stocker un secret est essentiel, mais contrôler son utilisation l'est tout autant. Dynatrace applique des règles strictes sur le Credential Vault :

  • Droits d'utilisation vs Droits de lecture : Un utilisateur (ou un groupe) peut recevoir l'autorisation d'utiliser un identifiant (pour l'attacher à un moniteur synthétique, par exemple) sans jamais avoir l'autorisation de lire sa valeur ou son mot de passe en clair.
  • Portées (Scopes) : Lors de la création d'un credential, vous définissez sa portée. Par exemple, vous pouvez configurer un secret pour qu'il ne soit utilisable uniquement par des Extensions, le bloquant ainsi pour le Synthetic Monitoring. Cela empêche le détournement de comptes de services sensibles.
  • RBAC et Audit : Accouplée au système de gestion des accès basé sur les rôles (RBAC) de Dynatrace, chaque interaction (création, modification, utilisation) avec un credential est historisée dans les journaux d'audit de la plateforme.
Lien copié dans le presse-papiers !