Rehberler›HPE Morpheus ile CyberArk ve HashiCorp Vault Entegrasyonu: Güvenli Kimlik Bilgisi Yönetimi

How-To Guide · HPE Morpheus · CyberArk · HashiCorp Vault · PAM

HPE Morpheus ile CyberArk ve HashiCorp Vault Entegrasyonu:Güvenli Kimlik Bilgisi ve Secret Yönetimi

HPE Morpheus 8.xCyberArk PAS · HashiCorp Vault 1.16+Haziran 2026

Kurumsal altyapılarda en büyük güvenlik açığı kimlik bilgilerinin yanlış yönetiminden kaynaklanır: şifreler e-postalarda, Excel'de veya kod deposunda saklanır; paylaşılan hesaplar kullanılır; şifre rotasyonu yapılmaz. HPE Morpheus, CyberArk Privileged Access Security ve HashiCorp Vault ile entegre olarak tüm provisioning sürecinde kimlik bilgilerini güvenli biçimde yönetir. Bu rehber; CyberArk Safe ve Account yapılandırmasından Morpheus entegrasyonuna, HashiCorp Vault AppRole kimlik doğrulamasından dinamik secret'lara, Morpheus Cypher ile Vault arasındaki köprüden secret rotasyonuna kadar eksiksiz bir PAM (Privileged Access Management) mimarisi kurar.

// İçindekiler

01 Morpheus PAM Mimarisi
02 Morpheus Cypher — Yerleşik Secret Deposu
03 HashiCorp Vault Entegrasyonu
04 Vault AppRole Kimlik Doğrulaması
05 Vault Dinamik Secret'lar
06 CyberArk PAS Entegrasyonu
07 CyberArk ile VM Provisioning
08 Secret Rotasyonu ve Yaşam Döngüsü
09 Denetim ve Uyumluluk
10 Güvenlik Sertleştirme Kontrol Listesi

Morpheus PAM Mimarisi

Morpheus, kimlik bilgisi yönetimi için üç katmanlı bir yaklaşım sunar. Her kurum olgunluk düzeyine göre bunlardan birini veya birden fazlasını kullanabilir.

🔐

Morpheus Cypher

Yerleşik KV deposu

Hızlı başlangıç için

🏛️

HashiCorp Vault

Açık kaynak PAM

Dinamik secret üretimi

🛡️

CyberArk PAS

Kurumsal PAM

Ayrıcalıklı hesap yönetimi

🔄

Secret Rotasyonu

Otomatik şifre değişimi

Uyumluluk gereksinimi

Özellik	Morpheus Cypher	HashiCorp Vault	CyberArk PAS
Kurulum Karmaşıklığı	Yok (dahili)	Orta	Yüksek
Dinamik Secret	Hayır	Evet (DB, AWS, PKI)	Evet (CPM ile)
Secret Rotasyonu	Manuel	Otomatik (lease)	Otomatik (CPM)
Denetim Kaydı	Morpheus Activity Log	Vault Audit Log	CyberArk Audit Trail
Lisans Maliyeti	Morpheus ile birlikte	Açık kaynak / Enterprise	Yüksek (kurumsal)
Uyumluluk (PCI, ISO)	Temel	İyi	Kapsamlı

Morpheus Cypher — Yerleşik Secret Deposu

Morpheus Cypher, harici bir PAM aracına ihtiyaç duymadan temel secret yönetimi sağlar. AES-256 ile şifreli olarak veritabanında saklanır; RBAC ile erişim kontrol edilir.

Cypher Secret Türleri

# Tools → Cypher → + Add Cypher

# 1. Manuel secret (KV deposu)
Yol   : secret/vcenter-password
Değer : GucluSifre123!
TTL   : 0  (süresiz) veya saniye cinsinden

# 2. Otomatik şifre üretme
Yol   : password/32/vm-root-password
# Morpheus 32 karakterlik rastgele şifre üretir
# Her okumada aynı değeri döndürür (idempotent)

# 3. RSA anahtar çifti üretme
Yol   : key/rsa-4096/ssh-deploy-key
# Morpheus RSA 4096 bit anahtar üretir
# Private key şifreli saklanır
# Public key: cypher.read('key/rsa-4096/ssh-deploy-key').public

# 4. UUID üretme
Yol   : uuid/vm-unique-id
# Her instance için benzersiz ID

# 5. İkili (binary) veri
Yol   : tfvars/1/deployment-config
# Terraform tfvars dosyası saklama

Cypher RBAC — Kim Neye Erişebilir?

# Cypher gizlilik seviyeleri
Görünürlük   : Private  (oluşturan kullanıcı)
             : Shared   (belirli gruplar)
             : Public   (tüm Morpheus kullanıcıları)

# Önerilen yapılandırma:
secret/prod/*        → System Admin (yalnızca)
secret/test/*        → Tenant Admin + System Admin
password/*           → System Admin (yalnızca)
key/*                → System Admin (yalnızca)

# API ile Cypher okuma (kimlik doğrulamalı):
GET /api/cypher/v1/secret/vcenter-password
Authorization: Bearer [TOKEN]
# Yanıt: {"success":true,"data":{"value":"GucluSifre123!"}}

Cypher TTL ve Otomatik Geçersiz Kılma

# Secret'a TTL (saniye cinsinden) ekleyin
TTL: 86400     → 24 saat sonra silinir
TTL: 2592000   → 30 gün sonra silinir
TTL: 0         → Süresiz (dikkatli kullanın)

# Geçici erişim token'ları için kısa TTL kullanın:
# Örnek: Jenkins CI için geçici Morpheus token
Yol   : secret/jenkins-deploy-token
TTL   : 3600   (1 saat)

# TTL dolduğunda:
# Cypher değeri silinir
# Kullanan Workflow'lar "secret not found" hatası verir
# Bu sayede güvenlik olayında token otomatik geçersiz olur

HashiCorp Vault Entegrasyonu

HashiCorp Vault, Morpheus'un en güçlü desteklediği dış PAM sistemidir. Morpheus, Vault'u Cypher backend'i olarak yapılandırabilir — bu sayede cypher.read() çağrıları Morpheus'un kendi deposu yerine Vault'tan değer getirir.

HashiCorp Vault Hazırlığı

# Vault'ta Morpheus için KV v2 engine etkinleştirin
vault secrets enable -path=morpheus kv-v2

# Morpheus için Policy oluşturun
cat > morpheus-policy.hcl << 'EOF'
# KV secret'larına tam erişim
path "morpheus/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

# Kimlik doğrulama için
path "auth/token/lookup-self" {
  capabilities = ["read"]
}
EOF

vault policy write morpheus-policy morpheus-policy.hcl

# Test secret ekleyin
vault kv put morpheus/secret/vcenter-password value=GucluSifre123!

Morpheus'a Vault Entegrasyonu Ekleyin

# Administration → Integrations → Add Integration → HashiCorp Vault
Adı             : Vault-Production
Vault URL       : https://vault.sirket.com:8200
Token           : [Vault Token]  (AppRole önerilir — aşağıya bakın)

# Cypher Backend Seçimi:
Cypher Backend  : Vault           (Morpheus yerine Vault kullanılsın)
Mount Point     : morpheus        (Vault KV mount yolu)

# Bu ayar yapıldığında:
# cypher.read('secret/vcenter-password')
# → Vault'tan morpheus/secret/vcenter-password çeker
# Morpheus Cypher deposunu devre dışı BIRAKMAZ
# İkisi birlikte çalışabilir

Vault AppRole Kimlik Doğrulaması

Token tabanlı kimlik doğrulama yerine AppRole kullanmak daha güvenlidir. AppRole, Morpheus'a özgü bir Role ID ve Secret ID çiftiyle çalışır; statik token yerine dinamik token üretilir.

Vault'ta AppRole Oluşturun

# AppRole auth methodunu etkinleştirin
vault auth enable approle

# Morpheus için AppRole tanımlayın
vault write auth/approle/role/morpheus-role \
  token_policies="morpheus-policy" \
  token_ttl=1h \
  token_max_ttl=4h \
  secret_id_ttl=0    # Secret ID süresi dolmaz (veya belirleyin)

# Role ID'yi alın (değişmez — saklayın)
vault read auth/approle/role/morpheus-role/role-id
# role_id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

# Secret ID üretin (rotasyona tabi)
vault write -f auth/approle/role/morpheus-role/secret-id
# secret_id: yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy

Morpheus'a AppRole Kimlik Bilgisi Ekleyin

# Vault entegrasyonu — AppRole kimlik doğrulaması
Auth Method     : AppRole
Role ID         : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Secret ID       : yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy

# Morpheus bu çiftle Vault'tan kısa ömürlü token alır
# Token 1 saat geçerli; otomatik yenilenir
# Token sızarsa (1 saat TTL) zararlı kullanım penceresi sınırlıdır

💡

Secret ID rotasyonu: Vault'un AppRole Secret ID'si periyodik olarak değiştirilmelidir. 90 günde bir yeni Secret ID üretip Morpheus entegrasyonunu güncelleyin. Bu süreç otomatize edilebilir: Vault Agent veya bir CI/CD pipeline Secret ID'yi döndürür ve Morpheus API'ye güncelleme gönderir.

Vault Dinamik Secret'lar

HashiCorp Vault'un en güçlü özelliği dinamik secret üretimidir. Statik şifre saklamak yerine Vault, talep anında kısa ömürlü kimlik bilgisi üretir ve belirli süre sonra otomatik geçersiz kılar.

Veritabanı Dinamik Secret'ı

# Vault'ta PostgreSQL backend'i etkinleştirin
vault secrets enable database

# PostgreSQL bağlantısını tanımlayın
vault write database/config/morpheus-db \
  plugin_name=postgresql-database-plugin \
  connection_url="postgresql://{{username}}:{{password}}@db.sirket.com:5432/appdb" \
  allowed_roles="morpheus-app-role" \
  username="vault-admin" \
  password="VaultAdminPass!"

# Dinamik kullanıcı rolü oluşturun
vault write database/roles/morpheus-app-role \
  db_name=morpheus-db \
  creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}'; GRANT SELECT ON ALL TABLES IN SCHEMA public TO \"{{name}}\";" \
  default_ttl="1h" \
  max_ttl="24h"

# Kullanım: Morpheus Groovy Task ile talep
# vault read database/creds/morpheus-app-role
# → username: v-morpheus-abc123
# → password: A1b2C3d4E5f6...
# 1 saat sonra bu kimlik bilgisi otomatik silinir

Morpheus'ta Dinamik Secret Kullanımı

// Groovy Task — Vault'tan dinamik DB kimlik bilgisi al
import groovy.json.JsonSlurper

def vaultUrl   = 'https://vault.sirket.com:8200'
def vaultToken = cypher.read('secret/vault-approle-token')

// Dinamik kimlik bilgisi talep et
def http = new URL("${vaultUrl}/v1/database/creds/morpheus-app-role")
    .openConnection()
http.setRequestProperty('X-Vault-Token', vaultToken)

def response = new JsonSlurper().parse(http.inputStream)
def dbUser   = response.data.username
def dbPass   = response.data.password
def leaseId  = response.lease_id

morpheus.log("Geçici DB kullanıcısı oluşturuldu: ${dbUser}")
morpheus.log("Lease ID: ${leaseId} — 1 saat geçerli")

// Bu kimlik bilgilerini instance metadata'ya ekle (şifreli)
morpheus.vars['db_user']     = dbUser
morpheus.vars['db_password'] = dbPass
morpheus.vars['lease_id']    = leaseId

PKI — Dinamik SSL Sertifikası

# Vault PKI engine ile otomatik SSL sertifikası
vault secrets enable pki
vault secrets tune -max-lease-ttl=87600h pki

# Internal CA oluştur
vault write pki/root/generate/internal \
  common_name="sirket.com" \
  ttl=87600h

# Rol tanımla
vault write pki/roles/morpheus-servers \
  allowed_domains="sirket.com" \
  allow_subdomains=true \
  max_ttl=720h     # 30 günlük sertifika

# Morpheus Workflow: Provisioning sonrası otomatik sertifika
# POST /v1/pki/issue/morpheus-servers
# Body: {"common_name": "vm.sirket.com", "ttl": "720h"}
# Yanıt: certificate, private_key, ca_chain

CyberArk PAS Entegrasyonu

CyberArk Privileged Access Security (PAS), kurumsal düzeyde ayrıcalıklı hesap yönetimi sunar. Morpheus, CyberArk'ın Central Credential Provider (CCP) veya Conjur API'si aracılığıyla güvenlik kasasındaki kimlik bilgilerini alır.

CyberArk'ta Morpheus için Yapılandırma

# CyberArk PVWA (Password Vault Web Access) → Uygulamalar
# "Morpheus-Integration" uygulaması oluşturun

Uygulama Adı   : Morpheus-Integration
Açıklama       : HPE Morpheus CMP entegrasyonu
Kimlik Doğrula : Sertifika + IP kısıtlaması

# İzin verilen Safe'ler:
Safe Adı       : VMware-Credentials
             : Linux-Server-Credentials
             : Network-Credentials

# CCP (Central Credential Provider) kimlik bilgisi alma URL'si:
# https://cyberark-ccp.sirket.com/AIMWebService/api/Accounts
# ?AppID=Morpheus-Integration&Safe=VMware-Credentials&Object=vcenter-admin

Morpheus'ta CyberArk Entegrasyonu

# Administration → Integrations → Add Integration → CyberArk
Adı            : CyberArk-Production
CCP URL        : https://cyberark-ccp.sirket.com/AIMWebService/api/Accounts
App ID         : Morpheus-Integration
Sertifika      : [Morpheus istemci sertifikası — PEM format]
Özel Anahtar   : [Sertifika özel anahtarı]

# SSL doğrulama:
CA Sertifikası : [CyberArk CA zinciri]

# Bağlantı testi:
# Morpheus → CyberArk CCP → Safe → Account → Şifre dönüşü

Conjur API ile Alternatif Entegrasyon

# CyberArk Conjur (modern API tabanlı)
# Özellikle CI/CD ve DevOps entegrasyonları için

# Conjur'da Morpheus için host tanımlayın:
conjur host create morpheus-appliance

# Policy:
# - resource: !variable morpheus/vcenter-password
#   permit:
#     role: !host morpheus-appliance
#     privilege: [read, execute]

# Morpheus → Conjur API kimlik doğrulama:
# POST /authn/sirket/morpheus-appliance/authenticate
# Body: API Key

# Secret okuma:
# GET /secrets/sirket/variable/morpheus/vcenter-password

CyberArk ile VM Provisioning

CyberArk entegrasyonunun somut kullanım senaryosu: VM provisioning sırasında vCenter ve Linux root şifresi CyberArk'tan çekilir; hiçbir şifre Morpheus veritabanında saklanmaz.

Cloud Kimlik Bilgilerini CyberArk'tan Al

# Morpheus Cloud yapılandırması — CyberArk entegrasyonu
# Infrastructure → Clouds → [VMware] → Edit → Credentials

Kimlik Bilgisi Kaynağı : CyberArk
Safe                   : VMware-Credentials
Object                 : vcenter-admin-prod

# Morpheus her API çağrısı öncesinde CyberArk'tan
# güncel şifreyi çeker. vCenter şifresi döndürüldüğünde
# Morpheus'ta eski şifre otomatik güncellenir.

VM Root Şifresi CyberArk'tan

# Post-Provision Groovy Task: VM şifresini CyberArk'tan al
# ve VM'e uygula

def cyberarkUrl = 'https://cyberark-ccp.sirket.com/AIMWebService/api/Accounts'
def appId       = 'Morpheus-Integration'
def safe        = 'Linux-Server-Credentials'
def objectName  = "root-${morpheus.vars['<%=instance.name%>']}"

// CyberArk'tan yeni şifre al
def url = "${cyberarkUrl}?AppID=${appId}&Safe=${safe}&Object=${objectName}"
def http = new URL(url).openConnection()
// İstemci sertifikası ekle...

def response = new groovy.json.JsonSlurper().parse(http.inputStream)
def newPassword = response.Content

// VM root şifresini güncelle (SSH ile)
// ...
morpheus.log("VM ${morpheus.vars['<%=instance.name%>']} şifresi CyberArk'tan alındı ve uygulandı")

Secret Rotasyonu ve Yaşam Döngüsü

Secret rotasyonu, uyumluluk gereksinimlerinin en kritik bileşenidir. PCI-DSS, ISO 27001 ve BGYS standartları ayrıcalıklı hesap şifrelerinin belirli aralıklarla değiştirilmesini zorunlu kılar.

Secret Türü	Rotasyon Sıklığı	Yöntem	Araç
vCenter/Bulut şifresi	90 gün	CyberArk CPM otomatik	CyberArk PAS
VM root şifresi	90 gün	CyberArk CPM + Morpheus	CyberArk + Workflow
Veritabanı şifresi	Her kullanımda	Vault dinamik secret	HashiCorp Vault
API Token	90 gün	Manuel veya CI/CD	Cypher TTL
SSL Sertifikası	30 gün	Vault PKI otomatik	HashiCorp Vault
SSH Keypair	180 gün	Morpheus Cypher key/ tipi	Cypher

Otomatik Rotasyon Workflow'u

# Morpheus Cron Task ile otomatik rotasyon (her 90 günde bir)
# Library → Automation → Tasks → Add Task → Groovy

// Morpheus API token rotasyon scripti
def oldToken  = cypher.read('secret/jenkins-api-token')
def userId    = cypher.read('secret/jenkins-user-id')

// Yeni token üret
def http = new URL("https://morpheus.sirket.com/api/users/${userId}/api-access")
    .openConnection()
http.requestMethod = 'PUT'
// ... API çağrısı

// Yeni token'ı Cypher'a yaz
// cypher.update('secret/jenkins-api-token', newToken)

// Eski token'ı geçersiz kıl
// cypher.update('secret/jenkins-api-token-old', oldToken)

morpheus.log("Jenkins API token rotasyonu tamamlandı")

Denetim ve Uyumluluk

Secret erişim kayıtları, uyumluluk denetimleri için en önemli kanıt kaynağıdır. Hangi sistem hangi şifreye ne zaman erişti?

Vault Audit Log

# Vault audit log etkinleştirme (zorunlu — üretim ortamı)
vault audit enable file file_path=/var/log/vault/audit.log

# Her secret erişimi log'a yazılır:
# {
#   "time": "2026-06-15T10:23:45Z",
#   "type": "request",
#   "auth": {"display_name": "morpheus-role"},
#   "request": {
#     "operation": "read",
#     "path": "morpheus/secret/vcenter-password"
#   }
# }

# Splunk/ELK'a aktarım:
# filebeat ile /var/log/vault/audit.log → SIEM

CyberArk Denetim İzleri

# CyberArk, her kimlik bilgisi erişimini kayıt altına alır:
# - Hangi uygulama (Morpheus-Integration)
# - Hangi Safe ve Account
# - Erişim zamanı
# - IP adresi

# PVWA → Raporlar → Kimlik Bilgisi Kullanımı
# PCI-DSS, ISO 27001 için hazır rapor formatları mevcut

# Morpheus Activity Log ile çapraz referans:
# CyberArk'ta erişim var ama Morpheus'ta yok → Anormal!

Güvenlik Sertleştirme Kontrol Listesi

✓ Morpheus Cypher şifreleme: Cypher veritabanının AES-256 ile şifrelendiğini doğrulayın (varsayılan olarak etkin)
✓ Vault TLS: Vault API'sine yalnızca HTTPS erişimi — TLS 1.2 minimum
✓ Vault seal/unseal: Vault Auto-Unseal için AWS KMS veya Azure Key Vault kullanın — manuel unseal üretimde risklidir
✓ Vault HA: Üretimde en az 3 Vault node (Raft consensus)
✓ AppRole Secret ID TTL: Secret ID için TTL belirleyin — sonsuz olmayan Secret ID'ler kullanın
✓ CyberArk CCP sertifikası: Morpheus istemci sertifikasını düzenli olarak yenileyin
✓ Secret log izleme: Vault audit log ve CyberArk erişim kayıtları SIEM'e aktarılsın
✓ Rotasyon takvimi: Tüm secret türleri için rotasyon takvimi oluşturun ve CI/CD ile otomatize edin
✓ Least privilege: Vault policy ve CyberArk Safe izinleri en az ayrıcalık ilkesine göre tanımlanmış
✓ Secret erişim testi: Yetkisiz erişim denemeleri denetim sistemine alarmı tetikliyor mu?

ESH Bilişim

HPE Morpheus PAM ve Secret Yönetimi Danışmanlığı

ESH Bilişim, HashiCorp Vault ve CyberArk entegrasyonu, dinamik secret yapılandırması, secret rotasyon otomasyonu ve uyumluluk denetim raporlaması konularında kurumsal danışmanlık verir.

🌐 eshbilisim.com ✉ mehmet.aydin@eshbilisim.com

Kaynaklar

HPE Morpheus, "Cypher" — docs.morpheusdata.com/cypher
HPE Morpheus, "HashiCorp Vault Integration" — docs.morpheusdata.com/hashicorp_vault
HPE Morpheus, "CyberArk Integration" — docs.morpheusdata.com/cyberark
HashiCorp, "AppRole Auth Method" — developer.hashicorp.com/vault/approle
CyberArk, "Central Credential Provider Implementation Guide" — docs.cyberark.com/credential-providers
NIST, "Secrets Management for DevOps" (SP 800-204D) — csrc.nist.gov/SP800-204D

HPE MorpheusCyberArkHashiCorp Vault PAMSecret YönetimiRotasyon

↑ Başa Dön