Suchen

Hashicorp bringt Vault 1.4 auf den Markt Datenverschlüsselung und Identitäts-Management überall und irgendwo

| Redakteur: Ulrike Ostler

„Vault“ stammt von Hashicorp und ist ein Werkzeug für vertrauliche Daten, das Datenverschlüsselung und Identitäts-Management für beliebige Anwendungen auf jeder Infrastruktur ermöglichen soll. Es gibt eine Open-Source-Variante und eine für Enterprise-Edition. Die Version 1.4 ist jetzt verfügbar und bietet einiges für Cloud-Native-Umgebungen.

Firmen zum Thema

Die aktuelle Version 1.4 des Hashicorp-Werkzeugs „Vault“ bietet Verbesserungen im sicheren Arbeitsablauf, bei Fehlerbehebungen ind hinsichtlich nativer Untestützung für Cloud-native Produktionsumgebungen.
Die aktuelle Version 1.4 des Hashicorp-Werkzeugs „Vault“ bietet Verbesserungen im sicheren Arbeitsablauf, bei Fehlerbehebungen ind hinsichtlich nativer Untestützung für Cloud-native Produktionsumgebungen.
(Bild: Arek Socha auf Pixabay)

Laut Anbieter arbeitet Vault 1.4 jetzt besser nativ in neuartigen Produktionsumgebungen. Dazu sollen folgende Funktionen beitragen:

  • Integrierter Speicher: Die Speicherung persistenter Daten von Vault ohne externes Speicher-Backend wird generell verfügbar. Zudem erhalten Vault-Enterprise-Kunden mehr Unterstützung.
  • Transform Secrets Engine (nur Vault Enterprise): Die Transform Secrets Engine führt eine sichere Datentransformation zum Schutz vertraulicher Informationen durch, die sich in nicht oder nur wenig vertrauenswürdigen Systemen außerhalb von Vault befinden.
  • Vault Helm Chart: Vault Enterprise unterstützt im Helm Chart jetzt auch das Hosting von Vault auf Kubernetes.
  • OpenLDAP Secrets Engine: Automatisches Verwalten statischer Entitäten innerhalb von OpenLDAP.
  • Kerberos Auth Method: Für die Authentisierung von Benutzern und Anwendungen über Kerberos.
  • Für die „Vault Enterprise“-Variante des Werkzeugs bietet Hashicorp nun eine Automatisierung der Schlüsselsteuerung über „Netapp Full Disk Encryption“ (FDE) an sowie der Verschlüsselung von Datenträgern über die „KMIP Secrets Engine“.
  • Außerdem hat das Unternehmen am Arbeitsablauf beim Disaster Recovery gearbeitet. Vault Enterprise bietet nun mehr Unterstützung für einen Sekundäranlauf, falls der primäre Anlaufplan nicht funktionieren sollte.

Integrated Storage

„Integrated Storage“ ist eine in Vault integrierte Speicher-Engine, welche die Konfiguration und Verwaltung zusätzlicher Speicher-Backends oder -Dienste überflüssig macht und die Implementierung und den Betrieb von Vault-Clustern in der Produktion vereinfacht. Das integrierte Speicher-Backend aus der Beta-Version ist jetzt für die Open-Source-Variante und die Enterprise-Edition allgemein verfügbar. Integriert ist auch eine Storage-Referenzarchitektur, eine „Preflight“-Checkliste für die Migration zu dem Vault-immanenten Speicher sowie ein Migrationsleitfaden für die Umstellung von „Consul“ auf Integrated Storage.

Die Transform Secrets Engine

Die „Transform Secrets Engine“ ist laut Anbieter eine wichtige, neue Funktion im Modul „Advanced Data Protection“ von Vault Enterprise. Damit lassen sich vertrauliche Daten schützen, die sich in nicht oder nur wenig vertrauenswürdigen Systemen außerhalb des Werkzeugs befinden. Dazu gehören Daten wie Sozialversicherungs- oder Kreditkartennummern und andere vertrauliche Daten, die unter anderem in Dateisystemen oder Datenbanken gebraucht werden, im Falle einer Gefährdung des Systems jedoch geschützt werden müssen.

Die Transform Secrets Engine unterstützt sowohl Einweg- (Maskierung) als auch Zweiweg-Transformationen über eine Data Type Protection. Damit unterstützt Vault Einsatzbereiche, die ansonsten über Tokens gelöst werden, mit Hochleistungskryptographie und der gesamten Palette der Hochverfügbarkeits- und Sicherheitsfunktionen der Vault-Plattform. (Sie auch: Dokumentation und Leitfaden)

Vault Helm Chart

Der offizielle „Helm Chart für Vault“ unterstützt jetzt sowohl Open-Source- als auch die Enterprise-Variante. Das Feature erlaubt, ein Vault-Cluster auf Kubernetes in nur wenigen Minuten zu starten. Geplant ist, dass Helm Chart der primäre Mechanismus für die Einrichtung zukünftig geplanter Funktionen von Vault und Kubernetes sein wird. Denn durch die Verwendung von Helm Chart wird die komplexe Ausführung von Vault auf Kubernetes erheblich vereinfacht, und ein wiederholbarer Implementierungsprozess in kürzerer Zeit erreicht.

OpenLDAP Secrets Engine

Die „OpenLDAP Secrets Engine“ im aktuellen Release erlaubt es Vault, bestehende OpenLDAP-Einheiten für Aktivitäten zu verwalten. Hierzu gehören rotierende Anmeldeinformationen in OpenLDAP-Verzeichnissen für viele Arbeitsabläufe mit privilegiertem Zugangs-Management. Die Engine ist kompatibel mit „OpenLDAP v.2.4“, so dass sich alle kompatiblen Identitätsplattformen mit OpenLDAP Secrets Engine instrumentieren lassen. (siehe auch die Anleitung)

Kerberos-Authentisierungsverfahren

Die „Kerberos“-Authentifizerung ermöglicht in Vault 1.4 die Verifikation von Anwendungen und Benutzern über eine vorhandene Kerberos- oder „Spnego“-Umgebung. Bei der Kerberos-Auth kommuniziert Vault mit einem externen Kerberos-System und überprüft die Ansprüche in einem Kerberos-Ticket.

Die Schlüsselverwaltung per Netapp

Vault Enterprise ist jetzt zertifiziert für das automatisierte Schlüssel-Management in den „Data-Ontap“-Systemen von Natapp. Dadurch kann Vault als externer Schlüsselmanager für Data Ontap dienen. Die Schlüssel werden entweder für die vollständige Festplattenverschlüsselung (FDE = Full Disk Encryption) über die Netapp-Speicherverschlüsselung geschützt oder auf Volume-Ebene über eine Datenträgerverschlüsselung.

Weitere Informationen über die KMIP Secrets Engine und der Technik-Blog zur Nutzung von Vault als externer Schlüsselverwaltung für NetApp-Verschlüsselung.

Disaster Recovery

Vor der Version Vault 1.4 erforderte während des Ausfalls eines DR-Primär-Clusters ein DR-Sekundär-Cluster die Erzeugung eines DR-Betriebs-Tokens, der durch eine Mindestanzahl an Wiederherstellungs- beziehungsweise Entsiegelungsschlüsseln erstellt wurde. Während kritischer Ausfallzeiten kann die Forderung dieser Mindestanzahl zu Verzögerungen bei der Wiederherstellung führen. Vault erlaubt jetzt die Erstellung eines DR-Batch-Tokens, der dann einen DR-Sekundär-Cluster ohne Forderung einer Mindestanzahl an Schlüsselhaltern ermöglicht und so bei kritischen Systemausfällen Zeit spart.

Weitere Informationen über den Arbeitsablauf bei einer Wiederherstellung (DR) und eine Schritt-für-Schritt-Anleitung.

Weitere Funktionen

Als die wichtigsten Funktionen, die bereits für die 1.3.x-Versionen von Vault entwickelt wurden und nun im Release 1.4 enthalten sind, bezeichnet Hashicorp folgende: Changelog.

  • „MongoDB Atlas Secrets“: Vault kann jetzt dynamische Anmeldeinformationen sowohl für MongoDB-Atlas-Datenbanken als auch für die Atlas-Programmierschnittstelle erzeugen.
  • „Redshift Database Secrets Engine“: Die Database Secrets Engine unterstützt jetzt statische und dynamische vertrauliche Daten für den Redshift-Dienst von Amazon Web Services (AWS).
  • Venafi Secrets Engine“: Ermöglicht Anwendungen, dynamisch SSL/TLS-Zertifikate zu generieren, die als Maschinenidentitäten dienen.
  • „Service-Registration Config“: Eine neu eingeführte service_registration-Konfiguration erlaubt die Konfiguration getrennt vom Speicher-Backend (#7887).
  • Kubernetes-Service-Discovery: Das Feature erlaubt bei der Vault, falls konfiguriert, Vault-Pods mit ihrem aktuellen Status zu kennzeichnen ( #8249).
  • Usage Monitoring: Die Web-Schnittstelle verfügt jetzt über neue Schnittstellensteuerelemente zur Überwachung der laufenden Zählmetriken von HTTP-Anfragen, Entitäten und Tokens in Vault.

Im Github-Changelog von Vault 1.4 gibt es eine vollständige Liste von Funktionen, Verbesserungen und Fehlerbehebungen. Wie immer empfiehlt Hashicorp ein Upgrade und das Testen dieser Version in einer isolierten Umgebung. Bei Problemen, sollten Nutzer „Vault Github-Issue-Tracker“ nutzen sie im Vault-Diskussionsforum posten.

Sollten Nutzer jedoch ein Sicherheitsproblem erkannt haben, sollten sie den Mail-Kontakt bevorzugen; zu den Sicherheitsrichtlinien und PGP-Schlüsseln

(ID:46496587)