zurück zum Artikel

Mit der neuen Version von Vault stehen Nutzern eine Secret Engine für OpenLDAP sowie die Option zur Authentifizierung via Kerberos offen.

HashiCorp hat Version 1.4 seines Open-Source-Werkzeugs Vault veröffentlicht, mit dem sich schützenswerte Informationen verwalten lassen. Das Update wartet mit einer Reihe von Verbesserungen sowie neuen Funktionen auf, die zum Teil jedoch nur Anwendern der kostenpflichtigen Enterprise-Edition zur Verfügung stehen – wie beispielsweise erweiterte Disaster-Recovery-Workflows und die neue Transform Secrets Engine, die einen sicheren Datentransfer aus nur bedingt vertrauenswürdigen Quellen außerhalb von Vault gewährleisten soll.

Integrated Storage verlässt die Betaphase

Die vermutlich wichtigste Neuerung in Vault 1.4 ist jedoch die integrierte Storage Engine. Das Integrated-Storage-Backend (Raft Storage Backend) hat die Betaphase verlassen und lässt sich nun uneingeschränkt nutzen – sowohl in der quelloffenen Version von Vault wie auch in der Enterprise-Edition. Anwender können nun darauf verzichten, externe Storage-Backends anbinden und konfigurieren zu müssen, sodass sich die Verwaltung von Vault-Clustern in Produktivumgebungen vereinfachen sollte. Details zur Raft-Architektur veröffentlicht HashiCorp in einer eigenen Dokumentation zum Storage-Backend [1] und stellt darüber hinaus Checklisten und einen Migrationsleitfaden für den Wechsel auf die integrierte Storage Engine [2] bereit.

Neu in Vault 1.4 ist auch die Kerberos-Auth-Methode. Dadurch lassen sich sowohl Nutzer wie auch Applikationen über bestehende Kerberos- oder SPNEGO-Umgebungen authentifizieren. Die Verifizierung erfolgt dabei durch Kommunikation von Vault mit einem externen Kerberos-System. Dank der ebenfalls neuen OpenLDAP Secrets Engine haben Vault-Anwender außerdem die Möglichkeit, vorhandene OpenLDAP Entities zu verwalten, um beispielsweise Credentials mit gängigen Privileged-Access-Management-Workflows (PAM) über verschiedene Directories zu rotieren.

Neues offizielles Helm Chart

Überarbeitet hat HashiCorp auch das offizielle Helm Chart, das den Einsatz von Vault auf Kubernetes vereinfachen soll. Anwender sollen damit einen Vault-Cluster binnen weniger Minuten in der Container-Orchestrierung aufsetzen können. Darüber hinaus gilt das Helm Chart offenbar auch schon als primäres Werkzeug, um zukünftige Funktionen von Vault und Kubernetes auszurollen.

Enterprise-Kunden profitieren in Vault 1.4 von verbessertem Disaster Recovery (DR). Ein DR Batch Token erlaubt nun beim Ausfall des primären DR-Clusters ein schnelleres Aufsetzen eines sekundären Clusters. In früheren Versionen war zum Erstellen des DR Operation Tokens ein in der Regel zeitaufwändiges Quorum der Wiederherstellungsschlüssel erforderlich. Als Teil des Advanced-Data-Protection-Moduls (ADP) steht Enterprise-Kunden zudem eine neue Transform Secrets Engine zur Verfügung. Damit lassen sich auch schützenswerte Daten wie Sozialversicherungs- und Kreditkartennummern sichern, die sich typischerweise in nicht oder nur halbwegs vertrauenswürdigen Systemen außerhalb von Vault befinden. Die Transform Secret Engine stellt dazu via Data Type Protection sowohl Ein-Wege- (masking) wie auch Zwei-Wege-Transformationen parat.

Zu den weiteren Neuerungen in Vault 1.4 zählen unter anderen eine Database Secrets Engine für AWS Redshift sowie erweiterte Credentials-Unterstützung für MongoDB Atlas. Einen detaillierten Überblick bietet der Blogbeitrag zum Release [3], die vollständige Liste der Änderungen findet sich im Changelog [4] auf GitHub. (map [5])

URL dieses Artikels:
https://www.heise.de/-4698130

Links in diesem Artikel:
[1] https://learn.hashicorp.com/vault/operations/raft-reference-architecture
[2] https://learn.hashicorp.com/vault/beta/migrate-to-raft
[3] https://www.hashicorp.com/blog/vault-1-4/
[4] https://github.com/hashicorp/vault/blob/master/CHANGELOG.md
[5] mailto:map@ix.de

Copyright © 2020 Heise Medien