Безопасность
Тема дорожной карты · Grafana
Защита развёртывания Grafana включает укрепление конфигурации, сетевого доступа, аутентификации и учётных данных источников данных для защиты как самого экземпляра Grafana, так и данных, к которым он предоставляет доступ. Первый шаг — задать надёжный уникальный secret_key в разделе [security] файла grafana.ini (или через GF_SECURITY_SECRET_KEY): он используется для подписания cookies и шифрования паролей источников данных, хранящихся в базе Grafana — использование значения по умолчанию ставит учётные данные под угрозу. Параметр allow_embedding (по умолчанию отключён) управляет тем, можно ли встраивать интерфейс Grafana в iframe; оставив его отключённым, вы предотвращаете атаки clickjacking, а при необходимости встраивания следует дополнительно использовать строгие заголовки Content-Security-Policy. Ограничение консоли администратора Grafana внутренними сетями через обратный прокси, включение TLS для HTTP-слушателя Grafana ([server] cert_file и cert_key) и отключение встроенной формы входа в пользу SSO — всё это важные шаги по укреплению безопасности Grafana. Учётные данные источников данных следует передавать через переменные окружения, а не в виде открытого текста в файлах провизионирования; пользователям должна назначаться минимально необходимая роль Grafana — назначение роли Viewer вместо Editor тем, кому достаточно только просматривать дашборды, следует принципу минимальных привилегий.
Как это работает
Безопасность: смените дефолтный admin-пароль (/etc/grafana/grafana.ini [security].admin_password), задайте secret_key (для подписи), отключите signup ([users].allow_sign_up=false), используйте auth-провайдеры (LDAP, OAuth, OIDC, SAML для enterprise), HTTPS на reverse proxy, folder-level permissions для ограничения, кто что видит. Service accounts (API-токены) — для программного доступа; никогда личные API-ключи.
Когда применять
SSO (OIDC через Yandex ID, Keycloak, Authentik) — до того как > 5 юзеров; ручное управление юзерами устаревает. Folder-level permissions — для компартментализации команд. Аудит, у кого admin (раз в квартал). Ротация API-токенов. Никогда не выставляйте /api/datasources публично — там хранятся datasource-credentials.
Типичные ошибки
Ловушки Безопасность: общий admin-аккаунт "для удобства" (нет audit trail); SSO group-claims не маппятся на Grafana-orgs (все получают дефолтную роль); credentials datasource в plaintext-конфиге (используйте шифрование Grafana или secrets-менеджер).