HashiCorp Vault 1.3 erleichtert das Credential-Management
In der neuen Version bietet Vault erweiterte Funktionen für das Berechtigungsmanagement über Dienste wie Active Directory und Kubernetes.
- Matthias Parbel
HashiCorp hat Version 1.3 seines auf das Verwalten schützenswerter Informationen zugeschnittenen Open-Source-Werkzeugs Vault veröffentlicht. In das neue Release sind eine Reihe von Verbesserungen sowie neue Funktionen eingeflossen, die zum Teil – wie im Fall der Entropie-Augmentation und den Pfadfiltern – aber der kostenpflichtigen Enterprise-Edition vorbehalten sind. Für das Credential-Management in Compliance-regulierten Multi-Cloud-Umgebungen stehen Vault-Nutzern erweiterte Optionen für Dienste wie Active Directory und Kubernetes zur Verfügung.
Active-Directory-Credentials im Team teilen
Den Umgang mit statischen Credentials-Systemen unterstützt Vault bereits seit Version 1.1. Die neue Funktion "Check In / Check Out" ermöglicht Nutzern die Verwaltung ganzer Sätze von Active-Directory-Credentials eines Systems, sodass diese auch innerhalb von Teams geteilt und abwechselnd verwendet werden können – mit rotierenden Passwörtern.
Die für Enterprise-Kunden im vorangegangenen Release eingeführte Secret Engine, die den Einsatz von Vault als KMIP-Server (Key Management Interoperability Protocol) erlaubt, wurde weiter ausgebaut. Um Vault auch als vollwertige externe Schlüsselverwaltung nutzen zu können, unterstützt das Tool nun erweiterte KMIP-Funktionen, die auch Prozesse zur Registrierung von extern abgeleiteten Schlüsseln umfassen. Neben den bewährten Mount-Filtern stehen in Vault Enterprise nun auch Pfad-Filter zur Verfügung, die ein Mounten geheimer Informationen in Namespaces ermöglichen und gleichzeitig eine Replikation verhindern, die gegen Compliance-Anforderungen verstoßen würde.
Bereit für schärfere Kryptografie-Regularien
Entropie-Augmentation erlaubt Vault-Anwendern darüber hinaus, auch schärfere Kryptografie-Regularien wie NIST SP800-90B zu erfüllen. Über die seal-Schnittstelle kann Vault nun die Entropie, die als Maß für die Zufälligkeit kryptographischer Operationen dient, auch von einer externen Quelle prüfen. Dadurch lassen sich beispielsweise auch hardwarebasierte Zufallszahlengeneratoren einbinden.
Zu den weiteren Neuerungen in Vault 1.3 zählen ein Debug-Befehl, der beim Sammeln von Metriken über den Health-Status von Nodes hilft, sowie Verbesserung des internen Speichers (Raft Storage Backend), die allerdings noch Beta-Status haben. Einen detaillierte Überblick bietet der Blogbeitrag zum Release, die vollständige Liste der Änderungen findet sich im Changelog auf GitHub. (map)
