Безопасность
Тема дорожной карты · Prometheus
Безопасность Prometheus охватывает меры по защите сервера Prometheus, его HTTP-эндпоинтов и собираемых данных метрик от несанкционированного доступа или вмешательства. По умолчанию Prometheus не включает аутентификацию или TLS, однако начиная с версии 2.24 он поддерживает настройку обоих механизмов через файл веб-конфигурации, указываемый флагом --web.config.file, — базовой аутентификации с паролями, хешированными bcrypt, и TLS с сертификатами. Цели опроса, требующие аутентификации, доступны через настройку блоков basic_auth, bearer_token или tls_config внутри соответствующего scrape_config. Для сетевой защиты рекомендуется запускать Prometheus за обратным прокси (например, nginx), который обрабатывает терминацию TLS и при необходимости добавляет заголовки аутентификации. Дополнительное укрепление безопасности включает ограничение доступа к API администратора Prometheus (включаемому через --web.enable-admin-api), применение Kubernetes RBAC и использование сетевых политик для ограничения того, какие поды могут обращаться к сервису Prometheus.
Как это работает
Безопасность: у Prometheus нет встроенной auth (предполагается доверенная сеть). В production — за reverse proxy (Caddy, nginx) с auth (OAuth2 proxy, basic auth, mTLS). Scrape-таргеты с auth: basic_auth, bearer_token, tls_config. Шифруйте remote_write/read трафик через TLS. Ограничьте /metrics-эндпойнты от публичности (auth или network ACL). Скрейп-секреты — из secrets:-файла с правильными правами.
Когда применять
Всегда фронт Prometheus + Alertmanager с auth в production — даже "внутренние" тулы утекают бизнес-данными. mTLS или OAuth2-proxy спереди. Ротация scrape-credentials периодически. Prometheus под non-root. Для multi-tenant — Mimir или VictoriaMetrics (с tenancy); один Prometheus не изолирует тенантов.
Типичные ошибки
Ловушки Безопасность: экспозиция UI / API Prometheus публично (мгновенный info leak — каждая метрика, каждый job); plain HTTP между Prometheus и exporters (cred + метрики на проводе); не ротируют service-account токены для k8s-scrape; общий Prometheus между security-границами (нет tenancy-изоляции).