> For the complete documentation index, see [llms.txt](https://wiki.datadike.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://wiki.datadike.com/getting-started/datasheet/clm.md). # CLM O **DataDike CLM** (Certificate Lifecycle Management) é o módulo proprietário da DataDike dedicado à **segurança de identidades de máquina** — certificados digitais x.509 usados por servidores, aplicações, serviços, dispositivos e cargas de trabalho para se autenticarem e estabelecerem comunicação confiável. Diferente das identidades humanas, as identidades de máquina crescem de forma silenciosa e em grande volume, e quando um certificado expira ou é emitido fora de política o resultado costuma ser indisponibilidade de serviço, falha de integração ou abertura de uma brecha de segurança. O CLM resolve esse problema dando **visibilidade completa, controle de ciclo de vida e automação** sobre todos os certificados do ambiente, eliminando o uso de planilhas, scripts dispersos e renovações manuais de última hora. {% hint style="info" %} O DataDike CLM **não é uma Autoridade Certificadora (CA)** e **não armazena chave privada localmente**. A emissão é delegada a CAs integradas por meio de **conectores**, e as chaves privadas permanecem protegidas no **cofre do DataDike PAM**. O CLM orquestra, governa e automatiza — sem se tornar mais um ponto sensível de guarda de chaves. {% endhint %} ## O que é e qual problema resolve Ambientes corporativos modernos podem ter de milhares a centenas de milhares de certificados distribuídos entre data centers, nuvens, contêineres e dispositivos. Sem uma plataforma central, as equipes enfrentam: * **Expirações inesperadas** que derrubam serviços críticos e portais expostos. * **Certificados desconhecidos ("shadow")** emitidos fora dos processos oficiais. * **Inconsistência de política** — algoritmos fracos, validades longas demais, CAs não homologadas. * **Renovação manual** lenta, sujeita a erro e que não escala. * **Falta de evidências** para auditoria e conformidade. O DataDike CLM ataca cada um desses pontos com **descoberta contínua, inventário unificado, renovação automática, governança de política e trilha de auditoria**, tudo em uma única plataforma. ## Console unificada com o DataDike PAM O gerenciamento de certificados aparece de forma **unificada na mesma console web do DataDike PAM**. Não há um segundo produto, um segundo login ou uma segunda interface a aprender: o operador acessa o mesmo portal de gestão de acessos privilegiados e encontra ali o inventário de certificados, os fluxos de emissão e renovação, os alertas e os relatórios. * **Experiência única** — administração de identidades humanas (PAM) e de máquina (CLM) no mesmo lugar. * **Cofre compartilhado** — as chaves privadas associadas a certificados são guardadas no cofre do PAM, com todo o seu controle de acesso e auditoria. * **API REST** — por baixo da console, o CLM expõe uma **API REST** completa que a console do PAM consome; a mesma API está disponível para automação e integração. ## Principais capacidades ### Descoberta e inventário * **Descoberta contínua** de certificados em rede, hosts, balanceadores, repositórios e nuvens. * **Inventário centralizado** com todos os atributos relevantes: emissor, titular, SAN, validade, algoritmo, tamanho de chave, cadeia e localização de uso. * **Detecção de certificados desconhecidos** ("shadow IT") e de configurações fora de política. * Agrupamento por aplicação, ambiente, time ou segmento de rede. ### Ciclo de vida e renovação automática * Gestão de todo o ciclo — **solicitação, emissão, instalação, renovação, rotação e revogação**. * **Renovação automática** antes do vencimento, com instalação assistida nos pontos de uso. * Aplicação de **políticas de emissão** (algoritmos, validade, CA permitida, padrões de nomenclatura). * Fluxos de aprovação e segregação de funções alinhados ao modelo de governança do PAM. ### Múltiplas autoridades certificadoras * **Conectores para CAs integradas** — públicas, corporativas internas e de nuvem. * Suporte aos protocolos padrão de mercado, como **ACME**, **SCEP** e requisições x.509, para emissão e renovação automatizadas. * Estratégia **multi-CA**: troca de autoridade sem reescrever processos, evitando dependência de um único emissor. ### Alertas de expiração * **Alertas proativos** de expiração em múltiplos horizontes (ex.: 90/30/7 dias). * Notificações por e-mail e via integrações de mensageria/ITSM. * Painéis com **certificados em risco**, priorizados por criticidade e impacto. ### Relatórios de conformidade * **Relatórios prontos** de postura, validade, algoritmos e CAs em uso. * Evidências para auditoria e **trilha completa** de eventos do ciclo de vida. * Indicadores de aderência à política e de cobertura do inventário. ### Integrações DevOps e nuvem * Integração com pipelines **CI/CD**, orquestradores de contêineres e balanceadores. * Provisionamento de certificados para cargas de trabalho efêmeras e de curta validade. * Consumo via **API REST** para automação fim a fim ("certificate-as-code"). ### Gateway de varredura * **Gateway de varredura leve** (um por segmento de rede) que alcança redes isoladas. * Conexão **sempre de saída** em direção ao CLM — não exige abrir portas de entrada no segmento protegido. * Permite descoberta e operação em ambientes segmentados sem expor a rede interna. ### Alta disponibilidade * **Cluster ativo-ativo** com **replicação síncrona** dos dados. * **RPO \~0** (sem perda de dados) e **RTO < 5 min** (recuperação rápida de operação). * Continuidade de serviço mesmo diante de falha de nó. ## Arquitetura resumida O DataDike CLM é um backend de **alto desempenho** apoiado em banco de dados **PostgreSQL**, operando em **cluster ativo-ativo** para alta disponibilidade. * **Backend / API REST** — núcleo de orquestração que expõe a API consumida pela console do PAM e pelas automações. * **Banco PostgreSQL** — armazena inventário, políticas, histórico e configuração, com **replicação síncrona** entre os nós do cluster. * **Conectores de CA** — componentes que falam com as autoridades certificadoras integradas (ACME, SCEP, x.509) para emitir e renovar. * **Cofre do PAM** — guarda as chaves privadas; o CLM nunca as mantém em disco local. * **Gateway de varredura** — agente leve por segmento, com conexão de saída ao CLM, para descoberta e operação em redes isoladas. ``` Console web do PAM ──► API REST do CLM ──► Backend (cluster ativo-ativo) ──► PostgreSQL (replicação síncrona) │ ├──► Conectores de CA (ACME / SCEP / x.509) ├──► Cofre do PAM (chaves privadas) └──► Gateway de varredura (segmentos isolados, saída) ``` ## Segurança A segurança é construída em camadas e por padrão: * **Autenticação de API em duas camadas** — exige simultaneamente **origem de IP confiável** e **token Bearer** válido; nenhuma chamada é aceita sem ambos. * **TLS em tudo** — todo o tráfego, interno e externo, é cifrado em trânsito. * **Segredos cifrados em repouso** — credenciais e dados sensíveis são protegidos por criptografia no armazenamento. * **Sem chave privada local** — as chaves vivem no cofre do PAM, reduzindo a superfície de ataque do CLM. * **Gateway de saída** — o componente que alcança redes isoladas nunca recebe conexões de entrada. * **Trilha de auditoria** — todos os eventos de ciclo de vida e de administração são registrados. {% hint style="warning" %} A combinação **IP confiável + token Bearer** significa que vazar apenas o token não basta para acessar a API: a chamada também precisa partir de uma origem de rede autorizada. {% endhint %} ## Capacidades | Capacidade | Descrição | | ------------------------------ | ----------------------------------------------------------------------------------------------------- | | **Descoberta contínua** | Varredura de rede, hosts, nuvens e repositórios para localizar certificados, inclusive desconhecidos. | | **Inventário unificado** | Catálogo central com emissor, titular, SAN, validade, algoritmo e local de uso. | | **Ciclo de vida completo** | Solicitação, emissão, instalação, renovação, rotação e revogação. | | **Renovação automática** | Renovação e reinstalação antes do vencimento, conforme política. | | **Multi-CA** | Conectores para CAs públicas, internas e de nuvem via ACME, SCEP e x.509. | | **Alertas de expiração** | Notificações proativas em múltiplos horizontes e painel de risco. | | **Relatórios de conformidade** | Relatórios e evidências de postura, validade e aderência à política. | | **Integrações DevOps/nuvem** | CI/CD, contêineres e balanceadores via API REST. | | **API REST** | Interface programática consumida pela console do PAM e por automações. | | **Gateway de varredura** | Agente leve por segmento, com conexão de saída, para redes isoladas. | | **Console unificada** | Gestão de certificados na mesma interface web do DataDike PAM. | | **Alta disponibilidade** | Cluster ativo-ativo, replicação síncrona, RPO \~0 e RTO < 5 min. | | **Segurança de API** | Autenticação em duas camadas (IP confiável + token Bearer), TLS e segredos cifrados. | ## Páginas relacionadas Os detalhes operacionais de cada área estão nas páginas filhas deste datasheet: * **Inventário e descoberta** — varredura, catalogação e detecção de certificados. * **Ciclo de vida e CAs** — emissão, renovação automática e conectores de autoridades certificadoras. * **Alertas e relatórios** — notificações de expiração e relatórios de conformidade. * **Integrações e alta disponibilidade** — DevOps/nuvem, gateway e cluster ativo-ativo. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://wiki.datadike.com/getting-started/datasheet/clm.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.