© KenoKickit/Shutterstock.com
Secrets-Management mit HashiCorp und Spring Vault

Sind Sie sicher, dass Ihre Passwörter sicher sind?


Mit moderner Methodik lassen sich Passwörter auf verschiedenen Umgebungen für unterschiedliche Apps sicher managen und speichern. Eine dieser Möglichkeiten ist die Verwendung von HashiCorp Vault. Dabei werden Passwörter durch verschiedene Mechanismen, wie die Verwendung von Key/Value oder auf dynamischem Weg, zentral gesichert und verwaltet.

Spring bietet mit Spring Vault eine High-Level-Abstraktion von HashiCorp Vault an, bei der es eine Client-Side-Unterstützung für die vorhandenen Spring-Applikationen gibt. Spring Vault bringt REST-Schnittstellen für den Zugriff auf die Passwörter, die in HashiCorp hinterlegt sind, mit. Eine kurze Erläuterung der Verwendung dieser beiden neuen Technologien verdeutlicht ihre Vorteile (Kasten: „Vault im Vergleich mit anderen Systemen“). Vault von HashiCorp sichert, speichert und verwaltet Passwörter, Zertifikate, API-Schlüssel und andere Secrets unter Berücksichtigung strenger Sicherheitskriterien. So können Secrets bei HashiCorp Vault bestimmte konfigurierbare Lebenszyklen haben, bei denen sich die Gültigkeitsdauer der Passwörter individuell festlegen lässt [1]. Vault wurde in der Programmiersprache Go geschrieben und arbeitet mit dem Intelligenz-Threading Goroutine. Goroutines sind leichtgewichtige und konkurrierende Funktionen, die performant und intelligent interagieren und schneller als normale Java-Threading-Mechanismen arbeiten. Ist zum Beispiel eine Goroutine blockiert, wird innerhalb der Go-Laufzeit automatisch eine neue Goroutine erzeugt.

HashiCorp Vault ist eine ausführbare Applikation und lässt sich mit dem Befehl vault server starten. Die Dev-Umgebung kann mit dem Parameter -dev gestartet werden: vault server -dev. Für die Produktionsumgebung werden Konfigurationsdateien in der HashiCorp Configuration Language (HCL) geschrieben. HCL ähnelt dem JSON-Format, hat aber eine Zusatzfunktion, um Kommentare hinzuzufügen.

Vault bietet eine einheitliche Schnittstelle für jedes Secret und eine sichere Zugriffskontrolle. Darüber hinaus zeichnet es ein detailliertes Überwachungsprotokoll auf. Vault kann beliebige Key/Value-Passwörter speichern und verschlüsselt diese Daten, bevor sie gespeichert werden. Es arbeitet mit dynamischen Secrets, ein Sicherungsmechanismus, bei dem Passwörter nur bei Bedarf erstellt werden. Damit kann der Client Passwörter nur einmal verwenden. Auch das Leasing, der Widerruf und das Erneuern von Passwörtern sind möglich. Vault erneuert Passwörter automatisch und kann sie auch wiederherstellen.

...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang