Často kladené otázky¶
Běžné dotazy o MazeVault
Verze dokumentu: 1.0.0
Poslední aktualizace: 2026-02-10
Obecné¶
Co je MazeVault?¶
MazeVault je podniková platforma pro správu tajemství a certifikátů navržená pro regulovaná odvětví, jako je bankovnictví, pojišťovnictví a státní správa. Poskytuje bezpečné úložiště pro tajemství (hesla, API klíče, tokeny), plně vybavenou certifikační autoritu (CA) s podporou OCSP a CRL a systém distribuce tajemství založený na agentech.
Jaké možnosti nasazení jsou k dispozici?¶
MazeVault podporuje dva modely nasazení:
- Azure AKS — Spravovaný Kubernetes na Microsoft Azure, doporučený pro organizace se stávající infrastrukturou Azure
- On-premise — Nasazení pomocí Docker Compose na Rocky Linux nebo RHEL, s plnou podporou air-gap (offline) režimu
Podrobnosti naleznete v Přehledu nasazení.
Jaké jsou licenční úrovně?¶
| Funkce | Business | Enterprise | Custom |
|---|---|---|---|
| Správa tajemství | ✅ | ✅ | ✅ |
| Certifikační autorita | ✅ | ✅ | ✅ |
| Agenti (max.) | 50 | Neomezeně | Neomezeně |
| Multi-DC synchronizace | — | ✅ | ✅ |
| Podpora SCEP | — | ✅ | ✅ |
| Vlastní integrace | — | — | ✅ |
| SLA | 8×5 | 24×7 | Individuální |
Kompletní matici funkcí naleznete v sekci Licencování.
Bezpečnost¶
Jak jsou tajemství šifrována?¶
Tajemství jsou šifrována pomocí AES-256-GCM s tříúrovňovou hierarchií klíčů:
- Hlavní klíč (Master Key) — Odvozen z hlavního hesla; nikdy se neukládá
- Šifrovací klíče dat (DEK) — Klíče pro jednotlivé zdroje šifrované hlavním klíčem
- Šifrování per tajemství — Každá verze tajemství používá jedinečný DEK
Platforma využívá architekturu s nulovými znalostmi (zero-knowledge): server nikdy nemá přístup k hlavnímu heslu v otevřeném textu.
Podporuje MazeVault vícefaktorovou autentizaci?¶
Ano. MazeVault podporuje:
- TOTP — Časově založená jednorázová hesla (RFC 6238), kompatibilní s Google Authenticator, Authy atd.
- FIDO2/WebAuthn — Hardwarové bezpečnostní klíče (YubiKey atd.)
- Obnovovací kódy — Jednorázové záložní kódy pro nouzový přístup
MFA lze vynutit na úrovni organizace pro všechny uživatele.
Jaké standardy shody MazeVault podporuje?¶
MazeVault implementuje opatření v souladu s:
- ISO/IEC 27001:2022 — Řízení bezpečnosti informací
- SOC 2 Type II — Kritéria důvěryhodných služeb
- PCI DSS v4.0 — Ochrana dat platebních karet
- NIS2 — Směrnice EU o kritické infrastruktuře
- Zákon o kybernetické bezpečnosti (ZoKB) — Národní požadavky
- GDPR — Nařízení o ochraně osobních údajů
Konkrétní mapování kontrol naleznete v Matici shody.
Jak MazeVault zpracovává auditní protokolování?¶
Každá významná operace (autentizace, přístup k tajemství, vydání certifikátu, změny konfigurace) je zaznamenána v neměnném auditním protokolu. Protokoly zahrnují:
- Časové razítko (UTC, nanosekundová přesnost)
- Identitu aktéra a zdrojovou IP adresu
- Typ operace a cílový zdroj
- Výsledek (úspěch/selhání) a podrobnosti o chybě
Protokoly lze exportovat do externích SIEM systémů prostřednictvím syslogu (RFC 5424) nebo integrace webhooků.
Certifikáty¶
Jaké typy certifikátů může MazeVault vydávat?¶
MazeVault CA podporuje:
- Serverové certifikáty — TLS/SSL pro webové servery a služby
- Klientské certifikáty — Vzájemná TLS autentizace (mutual TLS)
- Certifikáty pro podpis kódu — Podepisování softwaru
- Certifikáty mezilehlé CA — Delegovaná hierarchie CA
Podporuje MazeVault ACME (Let's Encrypt)?¶
MazeVault funguje jako privátní CA pro interní správu certifikátů. Nevydává veřejně důvěryhodné certifikáty. Pro veřejné TLS pokračujte v používání vaší stávající veřejné CA. MazeVault vyniká ve správě interní PKI infrastruktury, kde máte kontrolu nad řetězcem důvěry.
Jak funguje revokace certifikátů?¶
MazeVault podporuje dva mechanismy revokace:
- CRL (Certificate Revocation List) — Publikován v konfigurovatelném intervalu; lze distribuovat klientům
- OCSP (Online Certificate Status Protocol) — Ověřování stavu certifikátu v reálném čase prostřednictvím vestavěného OCSP Responderu
Oba mechanismy se aktualizují okamžitě po revokaci certifikátu.
Mohu importovat existující certifikáty?¶
Ano. MazeVault podporuje import:
- Certifikátů v PEM formátu s volitelným privátním klíčem
- Balíčků PKCS#12 / PFX
- Úplných řetězců certifikátů (leaf + mezilehlé + kořenový)
Importované certifikáty jsou sledovány pro monitoring expirace společně s certifikáty vydanými CA.
Agenti¶
Co je MazeVault Agent?¶
MazeVault Agent je lehký proces běžící na cílových serverech, který synchronizuje tajemství z centrální platformy MazeVault. Poskytuje:
- Automatickou rotaci tajemství bez restartování aplikací
- Lokální cache pro vysokou dostupnost
- Šifrovanou komunikaci se vzájemným TLS (mutual TLS)
- Doručování tajemství do souborů pro spotřebu aplikacemi
Jaké platformy agent podporuje?¶
Agent běží na:
- Linux — x86_64 a ARM64 (Ubuntu, RHEL, Rocky, Debian, Alpine)
- Windows — x86_64 (Windows Server 2019+)
- Kontejnery — Dostupný jako sidecar kontejner pro nasazení v Kubernetes
Jak funguje autentizace agenta?¶
Autentizace agenta používá dvoukrokový proces:
- Bootstrap — Počáteční registrace s jednorázovým bootstrap tokenem
- Vzájemné TLS (mutual TLS) — Po registraci agent obdrží klientský certifikát pro průběžnou autentizaci
Bootstrap tokeny jsou časově omezené a s omezeným počtem použití (výchozí: jednorázové).
Nasazení a provoz¶
Jaké jsou minimální hardwarové požadavky?¶
| Komponenta | Minimum | Doporučeno |
|---|---|---|
| CPU | 4 jádra | 8 jader |
| RAM | 8 GB | 16 GB |
| Úložiště | 50 GB SSD | 100 GB NVMe SSD |
| Síť | 100 Mbps | 1 Gbps |
Podrobné specifikace naleznete v sekci Požadavky.
Může MazeVault běžet v air-gapped prostředí?¶
Ano. Nasazení on-premise podporuje plně air-gapped (offline) instalace:
- Docker obrazy jsou dodávány jako offline balíček
- Během provozu není vyžadován žádný přístup k externí síti
- Distribuce CRL funguje lokálně bez přístupu k internetu
Jaká je strategie zálohování?¶
MazeVault podporuje více přístupů k zálohování:
- Zálohy databáze — Kontinuální archivace PostgreSQL a obnova k bodu v čase (point-in-time recovery)
- Zálohy klíčového materiálu — Šifrované exporty klíčů pro obnovu po havárii
- Azure Backup — Nativní integrace pro nasazení na AKS
Doporučení: Automatické denní zálohy s dobou uchování 30 dní. Postupy naleznete v sekci Zálohování a obnova.
Jaký je doporučený postup aktualizace?¶
- Vytvořte úplnou zálohu (databáze + konfigurace)
- Prostudujte poznámky k vydání ohledně nekompatibilních změn
- Stáhněte nové obrazy kontejnerů
- Aplikujte databázové migrace (automaticky při startu)
- Restartujte služby
- Ověřte health endpointy
Průběžné aktualizace (rolling upgrades) s nulovým výpadkem jsou podporovány na nasazeních AKS pomocí Helm. Podrobné kontrolní seznamy naleznete v sekci Údržba.
API¶
Jaké autentizační metody API podporuje?¶
API podporuje dvě autentizační metody:
- Založená na session — Cookie autentizace po SRP přihlášení (pro webové rozhraní)
- API klíč — Autentizace hlavičkou
X-API-Key(pro programový přístup)
Existují limity požadavků?¶
Ano:
| Typ endpointu | Limit |
|---|---|
| Autentizace | 5 požadavků/minutu |
| Standardní API | 100 požadavků/minutu |
| Hromadné operace | 20 požadavků/minutu |
| Kontroly stavu | 300 požadavků/minutu |
Hlavičky s informacemi o limitech (X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Reset) jsou zahrnuty v každé odpovědi.
Existuje SDK nebo klientská knihovna?¶
V současné době MazeVault poskytuje RESTful API s komplexní OpenAPI dokumentací. Klientské knihovny jsou v plánu. API používá standardní REST konvence, což usnadňuje integraci s jakýmkoli HTTP klientem.
Související¶
- Řešení problémů — Průvodce řešením chyb
- Rychlý start — Začínáme
- Začínáme s API — Průvodce integrací API