Elastic Agent 配置加密

了解 Elastic Agent 安全模型以及它如何处理集成配置中的敏感值非常重要。从高层次来看，Elastic Agent 通过加密连接从 Fleet Server 接收配置数据，并在磁盘上持久化加密的配置。这种持久化允许代理即使无法连接到 Fleet Server 也能继续运行。

整个 Fleet Agent 策略在静止时都已加密，但如果您同时拥有加密的配置数据和关联密钥，则可以恢复该策略。密钥材料以操作系统相关的方式存储，如下面的部分所述。

密钥材料存储在系统密钥链中。该值按原样存储，没有任何额外的转换。

配置数据使用 DPAPI CryptProtectData 和 CRYPTPROTECT_LOCAL_MACHINE` 进行加密。额外的熵是从存储在 .seed 文件中的 crypto/rand 字节派生的。配置数据存储为单独的文件，其中文件名是密钥的 SHA256 哈希值，文件内容使用 DPAPI 数据加密。密钥数据的安全性依赖于文件系统权限。只有管理员才能访问该文件。

加密密钥是从存储在 .seed 文件中的 crypto/rand 字节派生，经过 PBKDF2 变换后获得。配置数据存储为单独的文件，其中文件名是密钥的 SHA256 哈希值，文件内容使用 AES256-GSM 加密。密钥材料的安全性很大程度上依赖于文件系统权限。