Ook interessant Op zoek naar AI-certificering? Bezoek ons zusje-platform Route-to-AI.com
⏱ 5 min. lezen CyberArk Conjur

CyberArk Conjur: secrets management met machine-identiteit als kern

CyberArk Conjur is een enterprise secrets manager die sterk leunt op policy-as-code en machine-identiteit — een applicatie bewijst wie hij is via zijn platformidentiteit, niet via een vooraf gedeeld wachtwoord.

CyberArk Conjur is een secrets management-platform dat voortkomt uit de bredere CyberArk-suite voor Privileged Access Management (PAM), veel gebruikt in gereguleerde, enterprise-omgevingen. Het onderscheidende uitgangspunt van Conjur is machine-identiteit: in plaats van een applicatie een geheim wachtwoord vooraf te geven om zich te authenticeren, bewijst de applicatie zijn identiteit via een platformkenmerk dat al bestaat — bijvoorbeeld een Kubernetes ServiceAccount-token.

Pod met ServiceAccount-token Conjur Kubernetes authenticator valideert identiteit Conjur Vault policy-gestuurde toegang tot geheimen Authenticatie zonder vooraf uitgedeelde wachtwoorden: het Kubernetes-serviceaccount ís de identiteit

De Conjur Kubernetes-authenticator

Een pod in Kubernetes krijgt automatisch een ServiceAccount-token. De Conjur Kubernetes-authenticator valideert dat token bij de Kubernetes API server zelf, en vertaalt een geslaagde validatie naar toegang tot specifieke geheimen in Conjur — zonder dat er ooit een apart, langlevend Conjur-wachtwoord aan de applicatie is uitgedeeld. Dit elimineert een hele categorie risico's: er is geen "eerste geheim" dat zelf weer beveiligd en gerouleerd moet worden om bij de rest te komen.

Policy-as-code als besturingsmodel

Conjur-beleid wordt gedefinieerd in YAML-bestanden (Conjur policies) die precies vastleggen: welke identiteiten bestaan, welke geheimen er zijn, en welke identiteit bij welk geheim mag. Dit beleid wordt zelf weer via versiebeheer beheerd, wat aansluit bij dezelfde policy-as-code-filosofie die we ook bij OPA/Gatekeeper en Kyverno zien.

Waar Conjur zich onderscheidt van lichtere alternatieven

Conjur is doorgaans de keuze voor organisaties die al binnen het CyberArk PAM-ecosysteem werken, of die zeer fijnmazige, auditeerbare autorisatie nodig hebben over een groot aantal machine-identiteiten heen — vaak in financiële instellingen of andere sterk gereguleerde sectoren. Voor kleinere teams zonder die enterprise-compliance-druk is de operationele overhead van een volwaardig Conjur-platform vaak zwaarder dan nodig; daar volstaan lichtere oplossingen zoals Vault, ESO of Sealed Secrets beter.

Examentip: Onthoud het kernonderscheid: Conjur authenticeert primair op basis van *wat een machine al is* (zijn platformidentiteit), niet op basis van *wat een machine weet* (een vooraf gedeeld geheim) — dat is de rode draad door vrijwel elke Conjur-gerelateerde vraag.