Puppet 6.0 beherrscht Ende-zu-Ende-Verschlüsselung

Mit Version 6.0 haben die Macher von Puppet das nächste Major-Release der Software zur Konfigurationsverwaltung freigegeben. Neben zahlreichen Fehlerbereinigungen und Verbesserungen profitieren Anwender vor allem von erhöhter Sicherheit bei der Übergabe sensibler Daten an den sogenannten Agenten. Während der Master beispielsweise Datenbankpasswörter oder API-Schlüssel in einen Katalog kompilieren konnte, standen diese Daten dem Agent bisher stets unverschlüsselt zur Verfügung. Mittels des neuen Data Type Deferred stellt Puppet Ende-zu-Ende-Verschlüsselung bei der Anwendung des Katalogs sicher. Der Agent ist dabei in der Lage, Dienste für das Passwort- und Schlüssel-Management – wie HashiCorp Vault oder Conjur von CyberArk – abzufragen.

Eine weitere Verbesserung der operativen Sicherheit verspricht auch die überarbeitete Zertifikatsausstellung des Puppet Server 6.0, die einen neuen Workflow und eine neue API bietet. Statt wie bisher die Signierung komplett außerhalb des Root zu verlagern, legt der Server künftig standardmäßig Root- sowie Intermediate-CA-Zertifikate für die Signierung an. Im Fall einer externen CA lassen sich die Intermediate-CA-Zertifikate von dieser beziehen und mit dem neuen Unterkommando puppetserver ca an der richtigen Stelle platzieren. Darüber hinaus haben die Puppet-Entwickler einen gravierenden Fehler im Zusammenhang mit neu installierten CAs behoben: sie halten ihre Schlüssel und Zertifikate getrennt von der Agent-Installation, auch wenn der Befehl rm -rf $ssldir auf dem falschen Host ausgeführt werden sollte.

Unter dem Stichwort "Pupperware" soll sich mit Puppet 6.0 der Server-Stack als ein Set von Containern samt Docker Compose File deutlich schneller aufsetzen und in Betrieb nehmen lassen. Das container-basierte Deployment steht auch unter Windows zur Verfügung. Weitere Details zu den Neuerungen von Puppet 6.0 finden sich im Blogbeitrag sowie in den offiziellen Release Notes, die auch Hinweise für das Upgrade enthalten. (map)