云服务器价格_云数据库_云主机【优惠】最新活动-搜集站云资讯

数据库_大连网站建设培训_稳定性好

小七 141 0

HashiCorp Vault 0.2版

我们很荣幸地宣布Vault 0.2的发布保险库是管理机密的工具。从存储凭据和API密钥到加密敏感数据,保险库是一个解决所有秘密管理需求。Vault的首次公开发行是在两个月前,我们已经一直忙于扩展核心功能,添加新的机密和存储后端,改善用户体验,并修复错误。Vault 0.2提供了许多新功能,包括密钥旋转、重新键入,一个用于动态证书生成的PKI秘密后端,Cassandra秘密后端,许多新的存储后端,并且每个事务都是唯一的传输后端的密钥。有太多惊人的变化不可能在这里列出,所以请看完整的Vault 0.2更改日志更多细节。您可以下载Vault 0.2项目网站。继续阅读以了解有关Vault 0.2中主要新功能的更多信息。按键旋转和重新键入首次启动Vault服务器时,Vault初始化系统。这将创建用于保护静态数据的加密密钥,用于保护加密密钥的主密钥,以及密钥共享用于拆分主密钥。在vault0.1中,所有这些都是静态的,之后无法更改被创造出来了。Vault 0.2允许所有这些更新。这是由添加两个新命令:rotate和rekey。第一个命令"旋转"保护静态数据。调用时(通过CLI或直接调用在API中),生成一个新的随机密钥并将其安装到密钥环中。全部持久化的新数据使用新密钥,而密钥在旧密钥下加密密钥仍然可以解密。从Vault 0.2开始,旧密钥不会自动生效重新加密,但这是计划中的未来增强。$vault密钥状态关键术语:1安装时间:2015-07-14 20:46:31+1000 AEST$vault旋转关键术语:2安装时间:2015-07-14 20:46:36+1000 AEST$vault密钥状态关键术语:2安装时间:2015-07-14 20:46:36+1000 AEST第二个命令重新密钥关键股票的。init命令允许共享数量和需要设置阈值。使用rekey命令允许这些参数待更改。这也提供了一种方法来更改密钥共享,如果密钥持有者离开组织。重新密钥钥匙持有人。该过程通过指定新的共享数启动阈值(可能相同)。一旦达到现有阈值,主密钥将被重新生成,并提供新的密钥共享。$vault重新密钥-初始化开始:真重点股:5股关键阈值:3重新密钥进度:0所需密钥:1$vault重新密钥重新密钥已在进行中重点股:5股关键阈值:3密钥(将被隐藏):键1:9de4b5732ad06ca5c982ebc189d100763e0dfa88afc44ebfe2d707237cde17c001图例2:54cc5de89f2731e46eaac690b3b017fa6173acab9375285bfb360c6b6c6bc15902图例3:2f216b05195ae4b454f98c23ed0aa9a966cb4e187f54a71a1253ab975b0f1d6403图例4:9288DA985A795625B7E8EE75220E27FCAA0DC99B4B953314822AEB3A674DFB04图例5:E965EC75DC048375612DC540C9A5C2CD183E2A589A1A72FDE78D170D0391C605保险库重新设置了5把钥匙和3个钥匙的门槛。拜托安全地分发上述钥匙。当保险库重新密封时,重新启动或停止时,必须至少提供其中的3个密钥再次启封。Vault不存储主密钥。没有至少3把钥匙,你的保险库将永久密封。重新按键和旋转服务中断。它们还可以在HA环境中使用多个Vault实例。PKI机密后端新的Vault pki secret后端可用于将Vault转换为内部证书颁发机构。后端利用保险库的动态机密功能,以根据需要生成x509证书客户。运行内部PKI设置通常是一个具有挑战性的过程,因为生成证书、分发证书和正确管理所需的自动化更新和撤销。这使得许多组织的发行期限很长证书并与配置管理系统一起分发。这就产生了一个大的曝光面,如果是折衷的话,则是长寿命证书由于CRL和OCSP的使用受到限制,因此倾向于可用。pki操作员只需向Vault提供根证书或中间证书定义需要证书的各种角色。Vault的客户端可以请求根据需要生成证书,并根据需要生成证书。而不是用长寿命证书,保险库可以生成仅持续几分钟的证书,而是经常更新。这就限制了妥协的风险,与自动CRL生成相结合,使颁发证书更加安全。$vault write pki/issue/common公共_name=www\.hashicorp\.com键值租赁标识pki/issue/common/819393b5-e1a1-9efd-b72f-4dc3a1972e231租期259200租赁可续约假证书-----开始证书-----Miiecdcavkgawibagiuxmlrlktdbiooiyg2/BXO7docKfUwCwYJKoZIhvcNAQEL...az3gfwlOqVTdgi/ZVAtIzhSEJ0OY136bq4NOaw==-----结束证书-----颁发证书-----开始证书-----MIIDUTCCAjmgAwIBAgIJAKM+z4MSfw2mMA0GCSqGSIb3DQEBCwUAMBsxGTAXBgNV...-----结束证书-----私钥-----开始RSA私钥-----MIIEowIBAAKCAQEA0cczc7Y2yIu7aD/IaDi23Io+tvvDS9XaXXDUFW1kqd58P83r...3xhCNnZ3CMQaM2I48sloVK/XoikMLb5MZwOUQn/V+TrhWP4Lu7qD-----结束RSA私钥-----序列号5e:62:eb:2e:44:dd:04:83:8e:21:88:36:fc:15:ce:ed:da:1c:29:f5pki基金会,超越了仅仅存储秘密数据。使用pki后端使组织更容易接受相互TLS并开始迁移到零信任数据中心。感谢杰夫·米切尔并感谢Akamai赞助他的努力。每事务派生密钥传输机密后端自Vault的初始版本起就可用。后端用于帮助加密和解密通过保险库传输的数据。我们以前写过博客关于HashiCorp如何使用Vault的传输后端来保护敏感数据由阿特拉斯保存。在核心,运输在保险库中,数据可以明文形式发送,以便在保险库或密文被发送来解密。这允许客户机在没有有权使用加密密钥。这样更容易管理web服务器中的PII信息,同时仍然使用RDBMS系统进行可扩展存储。使用Vault 0.2,传输后端现在支持设置一个命名键。使用此属性创建密钥时,任何加密或解密操作还必须提供明文或密文的上下文。此上下文与原始加密密钥一起使用以生成派生此事务密钥是使用安全的高熵密钥派生的,并被使用加密或解密提供的数据。这允许每个事务使用相同的命名密钥使用不同的加密密钥。任何交易的妥协不显示有关具有不同上下文的任何其他事务的任何数据或原始加密密钥。$vault write transit/keys/foo-derived=true成功!数据写入:transit/keys/foo$CTX=`echo-n foo | base64`$vault write transit/encrypt/foo context=$CTX纯文本=`echo-n bar | base64`键值密文保险库:v0:DykggPIDCMz+vqrwsqa309htqs2c3y2bxednctlqq==$vault write transit/decrypt/foo context=$CTX密文="保险库:v0:DykggPIDCMz+vqrwsqa309htqs2c3y2bxednctlqq=="键值明文符号$echo YmFy | base64-D酒吧派生密钥的实际实现基于NIST标准普尔800-108建议。ACL策略改进Vault的策略语言受Consul ACL策略语言的启发。在Vault 0.1中,策略如下所示:路径"sys/"{policy="读取"}路径"secret/"{policy="写入"}在这个原始版本中,所有路径默认情况下匹配请求路径。这使得无法具体说明完全匹配策略。在Vault 0.2中,现在使用*全局通配符:路径"sys/*"{policy="读取"}路径"secret/*"{policy="写入"}#只允许'foo'键路径"transit/encrypt/foo"{policy="写入"}其次,保险库始终是默认的拒绝系统,这意味着除非获得许可显式给定,则ACL将拒绝它。但是,对于Vault 0.1策略语言赋予了拒绝策略最低的优先级,这使得很难将特定路径黑名单。Vault 0.2现在提供最高优先。这将实现以下功能:;路径"secret/*"{policy="读取"}路径"秘密/超级机密"{policy="拒绝"}在Vault 0.2中,对机密/超级机密的任何操作现在在第一条规则允许的地方被拒绝。请注意这可能是对现有策略文件的重大更改。升级详细信息Vault 0.2引入了一些主要的内部更改以支持重新密钥和旋转命令。策略语言的变化同样改变了指定和执行策略的方式。但是,当新版本的保险库未密封。加密密钥的现有表示形式将升级到钥匙环到位。任何现有政策都将更新以确保隐式glob行为继续工作。所有策略文件都应该升级,因为任何新策略都会写入假定符合Vault 0.2规范。没办法当这个项目还很年轻。路线图Vault 0.2是一个主要版本,它扩展了功能并修复了许多问题主要的可用性和稳定性问题。因此,我们预计会有一些新的将在以下发布的要点中解决的问题。我们期待着马上开始对Vault进行全面的外部代码审核。接下来,vault0.2将着重于添加对vaultssh的支持将使用一次性密钥和一次性密码来解决共享SSH密钥问题,添加对新的secret、auth和credential后端的支持,提高可用性以及修复漏洞。一如既往,我们建议在隔离环境中升级和测试此版本