HashiConf Global 2022: HashiCorp baut bei Security-Tools auf Zero Trust

Die Netzwerk- und Security-Tools Vault, Consul und Boundary sind zentrale Stützpfeiler der Zero-Trust-Strategie von HashiCorp – On-Premises und in der Cloud.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 4 Min.
Von
  • Udo Seidel
Inhaltsverzeichnis

Nach dreijähriger Unterbrechung richtet HashiCorp, der für IT-Infrastrukturwerkzeuge wie Terraform, Consul und Vault bekannte Anbieter, seine weltweite Hausmesse HashiConf Global wieder als Präsenzveranstaltung aus – diesmal von 4. bis 6. Oktober in Los Angeles. Anwender, Entwicklerinnen und Fans der Tools können sich vor Ort über die neuesten Entwicklungen informieren, Erfahrungen austauschen und sich Inspiration und neue Ideen holen. Zum Auftakt der Konferenz waren auch die Eröffnungsreden von CEO Dave MacJannet und CTO Armon Dadgar geprägt von einem zentralen Thema: Zero Trust.

Teilnehmende wurden Zeuge eines Feuerwerks an Ankündigungen rund um die Produkte Vault, Consul und Boundary, die HashiCorp als wichtige Säulen für seinen Zero-Trust-Ansatz positioniert. Der wesentliche Punkt bei Zero Trust ist das Fehlen "voreingestellter" Vertrauensverhältnisse – jede und jeder muss sich ausweisen. Erst danach fällt die Entscheidung über das Gewähren oder Verweigern von Berechtigungen. Technisch betrachtet handelt es sich bei Zero Trust daher um einen identitätsbasierten Ansatz. Das Secrets-Management-Tool Vault soll hierbei die Authentisierung und Berechtigungsvergabe verwalten. Das Service-Mesh Consul kümmert sich auf Netzwerkebene um die gegenseitigen Zugriffe zwischen den Rechnern/Maschinen, Boundary regelt den Zugang der Anwenderinnen und Anwender.

Ein Highlight der Ankündigungen auf der HashiConf Global ist sicherlich die Verfügbarkeit von Boundary in der "Wolke", der HashiCorp Cloud Platform (HCP). Im Sommer auf der europäischen HashiConf noch als Beta angekündigt, lassen sich mit dem Managed Service HCP Boundary nun sämtliche Funktionen nutzen, ohne dass sich Anwenderinnen und Anwender um Installation und Wartung kümmern müssen. Das Boundary-Projekt ist erst circa zwei Jahre alt und zählt damit zu den neueren Produkten im HashiCorp-Portfolio. Beim Anwenderzugriff auf die geschäftskritischen Systeme abstrahiert HCP Boundary von der eigentlichen Sitzung (Session), deren Verbindung, Ausgabe sowie der Erteilung und dem Entzug von Berechtigungen. Boundary bietet sowohl Betriebs- als auch Sicherheitsteams die Möglichkeit, Cloud-Service-Kataloge und lokale Ressourcen dynamisch einzubinden. Darüber hinaus lassen sich Richtlinien erstellen, auf die Systeme, Benutzer und Gruppen Zugriff haben sollen. Im Zusammenspiel mit Vault lassen sich sogar passwortlose Verbindungen mit den benötigten Berechtigungen bereitstellen und wieder verwerfen.

HashiCorps identitätsbasierter Ansatz für Zero Trust

(Bild: HashiCorp)

Das Service-Mesh Consul, das schon länger als HCP-Version verfügbar ist, hat mit Version 1.14 ebenfalls einen großen Schritt nach vorn gemacht. Nun lassen sich Cluster von verschiedenen Rechenzentren verbinden. Das ermöglicht echte Notfallszenarien. Bei einem Fehler in Rechenzentrum A lässt sich die Anwendung jetzt auch in Rechenzentrum B starten. Diese neue Funktion ist in Consul 1.14 allerdings noch als Beta gekennzeichnet.

Überarbeitet hat HashiCorp auch die Kommunikation von Consul mit dem Serverless-Dienst AWS Lambda. Die ist jetzt auch bidirektional möglich – allerdings in unterschiedlichen Reifegraden. In Richtung AWS ist die Funktion generell verfügbar. Der Weg zurück befindet sich noch im Beta-Stadium. Ferner bietet Consul mit dem neuen Cloud-Manager Verbesserung im Hinblick auf Verwaltung. Das Tool ist als technische Vorschau mit HCP Consul verfügbar. Mit Cloud Manager lassen sich verschiedene Installationen in der Cloud oder auch lokal über eine zentrale Oberfläche verwalten. Technisch noch etwas tiefer angesiedelt liegen die Consul Dataplanes. Sie sollen Installation und Konfiguration verbessern und auch eine engere Integration mit dem Proxy Envoy liefern.

Das letzte Paket von Ankündigungen betrifft Vault. Die HCP-Version ist nun als Beta in der Microsoft-Cloud verfügbar. Neu sind zudem Mehrfaktorauthentisierung und zusätzliche Plug-ins. Anwenderinnen und Anwender können jetzt außerdem auch eigene Schlüssel mitbringen: BYOK (Bring Your Own Key). Im Kontext von PKI lassen sich Schlüssel zurückrufen. In Oracle-Umgebungen lässt sich Vault für TDE (Transparent Disk Encryption) einsetzen. Auch Redis-Anwenderinnen dürften sich freuen: Sie können ab sofort auf die Dienste von Vault zurückgreifen. Das gilt sowohl für die Open-Source-Version und das Enterprise-Produkt als auch für den auf Redis zugeschnittenen Caching-Dienst AWS ElastiCache.

(map)