Шифрование данных в покое и при передаче в платформе AIOps.

Data in transit (TLS)

• Клиент → API Gateway: все публичные API только по HTTPS; TLS-терминация на API Gateway (Envoy). Сертификаты — через cert-manager или Vault; см. Secrets & Certificates.
• Внутренняя сеть (сервис ↔ сервис): в Kubernetes трафик может шифроваться на уровне сети (service mesh) или считаться доверенным внутри кластера; при требовании compliance — mTLS между сервисами (сертификаты из Vault или встроенные механизмы).
• Сервисы ↔ БД, Redis, Kafka: по возможности TLS; конфигурация подключений через переменные окружения (секреты из Vault).

Data at rest

• PostgreSQL: шифрование дисков на уровне облачного провайдера или хранилища (LUKS, провайдерские опции); при необходимости TDE (Transparent Data Encryption) по политике.
• Пароли и секреты: пароли пользователей хранятся только в виде хешей (Argon2id) в Credential service; сами пароли не сохраняются. Секреты приложений (ключи БД, JWT signing keys) — в Vault; в К8s подаются через External Secrets, не в открытом виде в репозитории.
• Чувствительные поля в БД: при необходимости дополнительного шифрования полей (PII) — шифрование на уровне приложения с ключами из Vault; ключи ротируются по политике.

Ключи и управление

• JWT signing keys: хранятся в Vault; ротация без простоя при поддержке двух активных ключей.
• Ключи шифрования данных: при использовании application-level encryption — отдельные ключи в Vault с версионированием; процедуры ротации в runbook’ах.
• См. Secrets Management для интеграции с Vault и ротации.

Связанные страницы

• Secrets Management — хранение и ротация секретов
• Secrets & Certificates — сертификаты и TLS
• Credential service — хранение хешей паролей
• Authentication — защита канала при аутентификации