HashiCorp Vault 1.2 bietet eine KMIP Server Secret Engine

HashiCorp hat Version 1.2 seines Open-Source-Werkzeugs Vault freigegeben. Das auf das Verwalten geheimer Informationen zugeschnittene Tool erhält in der neuen Auflage eine Reihe an Änderungen, allen voran wohl die Server Secret Engine, mit der Nutzer Vault als KMIP-Server (Key Management Interoperability Protocol) für Clientanforderungen einsetzen können. Allerdings steht die Funktion nur für die zahlende Vault-Kundschaft zur Verfügung.

Vereinfacht gesagt ist KMIP ein erweiterbares Kommunikationsprotokoll, das einen Standard für die Kommunikation eines Key-Lifecycle-Management-Systems (KLMS) und dessen Clients bieten soll. Sie definiert, wie eine Nachricht aussehen muss und welche Informationen ausgetauscht werden können. Das Protokoll existiert seit 2010 und wird durch die Organization for the Advancement of Structured Information Standards (OASIS) verwaltet.

Vault nun als KMIP-Server

Mit Vault 1.2 können Enterprise-Kunden die neue Secret Engine nutzen, um das Tool als KMIP-Server einzusetzen. Dadurch sollen Anwender Vault in über hundert Enterprise-Plattformen integrieren und damit Anwendungsfälle wie Transparent Database Encryption (TDE) oder Full Disk Encryption (FDE) handhaben können. Allerdings seien noch nicht alle Funktionsweisen des Protokolls in Vault gelandet, sodass weitere Integrationen in den nächsten Releases folgen sollen.

Darüber hinaus bietet Vault nun die Möglichkeit, Identity JSON Web Tokens zu erstellen, die OpenID Connect konform sind. Sie sind an Vault-Identitäten geknüpft, können aber in Drittanbietersystemen eingesetzt werden. Dadurch kann eine Applikation eine Vault-Entität verifizieren, ohne sich in Vault einloggen zu müssen.

Ebenfalls neu ist eine Erweiterung der Datenbank-Secret-Engine, um die Anmeldeinformationen für bereits bestehende Benutzer zu verwalten Dadurch kann Vault als "Source of Truth" für Anwendungen dienen, die eine Reihe von bekannten Datenbank-Logins verwenden und traditionelle PAM-Anwendungsfälle (Privileged Access Management) mit statischen DB-Anmeldeinformationen bedienen.

Weitere Details zum Release bietet ein Blogbeitrag von HashiCorp. Eine vollständige Liste der Änderungen findet sich im Changelog.

Siehe dazu auf heise Developer:

• Vault für Entwickler: Geheimnisse in Webanwendungen schützen

(bbo)