HashiCorp: Neue Funktionen für Vault und Boundary
HashiCorp stellt neue Funktionen für seine Produkte Vault und Boundary vor, über die Menschen und Maschinen Zugang zu Infrastruktur und Geheimnissen erhalten.
Das Unternehmen HashiCorp, bekannt für das Infrastructure-as-Code-Werkzeug Terraform und die Zugangsdatenverwaltung Vault, hat im Rahmen seiner Konferenz HashiDays neue Funktionen und Produkte vorgestellt – darunter kommerzielle Angebote und Features für die Open-Source-Anwendungen.
Neuer Kubernetes-Operator
Aus der Beta-Phase entlassen wird der "Vault Secrets Operator", der Geheimnisse in Kubernetes-Clustern bereitstellt. Statt wie bisher neben jeder Anwendung, die auf Secrets zugreifen soll, einen Container als sogenanntes Sidecar zu platzieren, kommt im Cluster ein einziger Operator zum Einsatz. Über CustomResourceDefinitions (CRDs) bekommt er Anweisungen, wie er Zugangsdaten aus einer Vault-Instanz beziehen soll. Er macht daraus gewöhnliche Kubernetes-Secrets, die die Anwendung konsumieren kann. Ändern sich die Secrets in der Vault-Instanz, kümmert sich der Operator darum, sie im Cluster zu aktualisieren. Der neue Betriebsmodus funktioniert mit Open-Source-Vault, mit einem selbst gehostetem Enterprise-Server und mit HashiCorps Software-as-a-Service-Angeboten.
Wer Vault nicht selbst betreiben will, bekommt ein neues SaaS-Angebot namens "HCP Vault Secrets", das als Beta-Version veröffentlicht wurde und bis zu 200 Secrets kostenlos verwaltet. Das Angebot soll den Einstieg in zentral verwaltete Geheimnisse erleichtern und ist mit wenigen Klicks eingerichtet – anders als eine dedizierte HCP Vault-Instanz. HashiCorp will damit kleine Unternehmen ansprechen und Entwickler ermuntern, sich von Anfang an daran zu gewöhnen, Geheimnisse zentral abzulegen. "Wir denken da an Entwickler, die Zugangsdaten am Anfang eines Projekts hartkodiert haben, weil ihre Organisation noch keine zentrale Secret-Verwaltung im Einsatz hatte", erklärt HashiCorp-CEO Dave McJannet im Gespräch mit heise online.
Boundary Enterprise
Während Vault vorwiegend dafür genutzt wird, Software mit Zugangsdaten zu versorgen, ist die Software Boundary dafür gedacht, Menschen Zugriff auf Dienste zu geben. Boundary arbeitet dafür als Proxy und versorgt Entwickler mit einem temporären Zugriff auf Dienste – zum Beispiel eine SSH-Verbindung. Ein Entwickler, der auf einen Dienst zugreifen muss, braucht keine dauerhaft gültigen Zugangsdaten sondern bekommt eine temporäre Sitzung.
Bisher gab es HashiCorp Boundary als SaaS-Angebot und in einer Open-Source-Variante zum Selbsthosten. Neu im Sortiment ist Boundary Enterprise, also eine kommerzielle Version zum Selbsthosten – inklusive Support. Neu ist in den kostenpflichtigen Versionen ist die Funktion "Session Recording" – SSH-Sitzungen, die über Boundary aufgebaut werden, können damit mitgeschnitten werden. Mit den Protokollen lässt sich zum Beispiel nachweisen, welche Änderungen ein Mitarbeiter vorgenommen hat.
(jam)