Integração PAM (Privileged Access Management)

O CipherVault integra com as principais soluções PAM do mercado para unificar governance sem forçar migração imediata. Você pode importar, sincronizar bidirecionalmente ou substituir gradualmente.

Provedores suportados

Provedor	Origem	Suporte
HashiCorp Vault	EUA	KV v1/v2, Transit, Database secrets engine
CyberArk	EUA	PAS, Conjur
BeyondTrust	EUA	Password Safe, DevOps Secrets Safe
Delinea (ex-Thycotic)	EUA	Secret Server, DevOps Vault
Senhasegura	🇧🇷 Brasil	Secrets Manager, DevOps Vault, A2A

A integração com Senhasegura é nativa e desenvolvida em parceria — clientes brasileiros que adotam ou migram do Senhasegura têm caminho preferencial.

Casos de uso

1. Migração assistida

Empresas migrando de HashiCorp Vault open source ou CyberArk para o CipherVault podem:

ciphervault-cli migrate from-hashicorp \
  --source-addr https://vault.acme.com.br \
  --source-token $VAULT_TOKEN \
  --source-mounts kv,kv-billing,database \
  --to-vault producao \
  --path-prefix 'imported/' \
  --include-policies \
  --include-leases \
  --dry-run

O CLI gera relatório do que será migrado, identifica conflitos de path, mapeia policies HashiCorp → CipherVault e produz um plano de cutover.

2. Sync bidirecional

Mantenha CyberArk como sistema de registro para senhas privilegiadas humanas, e use o CipherVault para credenciais de aplicações (CI/CD, microsserviços) — mas com visão única de quem acessou o quê:

{
  "name": "sync-cyberark-prod",
  "direction": "bidirectional",
  "source": {
    "provider": "cyberark",
    "endpoint": "https://pvwa.acme.com.br",
    "auth": { "method": "client_certificate" },
    "safe": "Producao-Servers"
  },
  "destination": {
    "vault": "producao",
    "prefix": "cyberark/"
  },
  "conflict_resolution": "newer_wins",
  "sync_interval_seconds": 60
}

3. Senhasegura como source of truth

Para clientes que precisam manter o Senhasegura por decisão de compliance (gov, financeiro), o CipherVault funciona como gateway DevOps: pipelines e Kubernetes consomem do CipherVault, que por sua vez busca dinamicamente do Senhasegura via API A2A:

┌─────────────┐      ┌──────────────┐      ┌──────────────┐
│ GitHub CI   │─────▶│ CipherVault  │─────▶│ Senhasegura  │
│ Kubernetes  │ OIDC │ (gateway)    │ A2A  │ (fonte)      │
│ Aplicações  │ mTLS │              │      │              │
└─────────────┘      └──────────────┘      └──────────────┘

Vantagens:

Apps consomem padrão CipherVault (SDK, OIDC, mTLS).
Senhasegura mantém compliance e auditoria do PAM tradicional.
Auditoria unificada no CipherVault.
Latência amortizada via cache (TTL configurável por path).

Configuração — HashiCorp Vault

curl -X POST https://api.ciphervault.com.br/v1/integrations/pam \
  -H "Authorization: Bearer $CIPHERVAULT_TOKEN" \
  -d '{
    "name": "hashicorp-prod",
    "provider": "hashicorp_vault",
    "endpoint": "https://vault.acme.com.br",
    "auth": {
      "method": "approle",
      "role_id_secret": "integrations/hashicorp/role_id",
      "secret_id_secret": "integrations/hashicorp/secret_id"
    },
    "mounts": ["kv-billing", "kv-payments"],
    "namespace": "acme/billing"
  }'

Configuração — Senhasegura

curl -X POST https://api.ciphervault.com.br/v1/integrations/pam \
  -H "Authorization: Bearer $CIPHERVAULT_TOKEN" \
  -d '{
    "name": "senhasegura-prod",
    "provider": "senhasegura",
    "endpoint": "https://senhasegura.acme.com.br",
    "auth": {
      "method": "a2a",
      "client_id_secret": "integrations/senhasegura/client_id",
      "client_secret_secret": "integrations/senhasegura/client_secret",
      "ip_machine": "10.0.42.10"
    },
    "scopes": ["read", "search"]
  }'

A integração A2A do Senhasegura exige IP da máquina autorizada — o CipherVault sai por IPs fixos por região (documentados em https://api.ciphervault.com.br/.well-known/egress-ips).

Auditoria unificada

Cada operação que cruza para um PAM externo é registrada com:

external_provider (ex.: senhasegura, cyberark)
external_request_id
latency_ms
cache_hit (boolean)

Permite reconciliação cruzada com os logs do PAM original.

Boas práticas

PoC primeiro. Conecte um PAM em ambiente staging por 2 semanas.
Cache TTL agressivo para Senhasegura/CyberArk. APIs A2A têm rate limit; cache de 5min é seguro para a maioria dos casos.
Sem dual-write em produção. Bidirecional só com critério claro de conflict resolution.
Disconnect plan. Sempre tenha um plano de saída — o CipherVault exporta para qualquer formato (HashiCorp KV, OpenBao, JSON).

Provedores suportados​

Casos de uso​

1. Migração assistida​

2. Sync bidirecional​

3. Senhasegura como source of truth​

Configuração — HashiCorp Vault​

Configuração — Senhasegura​

Auditoria unificada​

Boas práticas​