我们很高兴地宣布HashiCorp vault1.3的公开可用性。Vault是一种为任何基础结构和应用程序提供机密管理、数据加密和身份管理的工具。Vault 1.3的重点是提高Vault作为Active Directory和Kubernetes等服务的凭据管理工作负载的平台的能力，并支持具有高性能、法规遵从性的工作负载的全球多云操作。此版本包含以下功能：熵增强（仅限Vault Enterprise）：允许Vault Enterprise从外部加密模块中采样熵。Active Directory签入/签出：允许Vault管理Active Directory凭据的签入/签出轮换。vaultdebug：一个新的CLI命令，用于收集Vault节点的运行状况指标。路径过滤器（仅限Vault Enterprise）：实现允许控制将哪些命名空间机密复制到次副本的路径过滤器。OracleCloudInfrastructure（OCI）支持：用于Oracle云基础设施的新身份验证方法、存储后端和自动解封接口。改进了集成存储（Beta）：改进了raft写入性能，增加了对非投票者节点的支持，以及对以下方面的UI支持：使用raft存储、加入raft集群以及下载和恢复快照。此版本还包括其他新功能、安全工作流增强、常规改进和错误修复。Vault 1.3变更日志提供了功能、增强功能和错误修复的完整列表。»熵增强注意：这是Vault Enterprise功能vaultenterprise1.3引入了熵增强：这一特性允许Vault通过seals接口从外部源获取熵（或加密操作的随机性）。熵，或称统计随机性，在密码学中是至关重要的，对于保护保险库中的机密也很重要。虽然保险库使用的系统熵（取决于保险库的运行位置而有所不同）在大多数威胁模型中都无法运行，但在某些情况下，需要来自基于硬件的随机数生成器的额外熵。熵增强允许Vault Enterprise使用来自外部加密模块的熵来补充其系统熵。设计用于在需要与NIST SP800-90B等密码法规保持一致的环境中运行，或者需要来自外部来源（如硬件真随机数发生器（TRNG）或量子计算TRNG）的增强熵的环境中运行，当对关键安全参数（csp）执行随机数操作时，增广熵取代了系统熵。这些CSP选自我们之前评估金库是否符合FIPS 140-2密钥存储和密钥传输指南的工作，包括以下内容：保险库万能钥匙密钥环加密密钥自动解封恢复密钥用于节点间和集群间通信的TLS私钥（HA leader、raft和replication）企业MFA TOTP令牌密钥JWT令牌包装密钥根标记DR操作令牌有关熵增强的更多信息，请参阅我们的学习指南和系统文档。»改进的集成存储（测试版）Vault 1.3对Vault的集成存储（也称为Raft存储后端）进行了许多改进，并将集成存储过渡到了Beta版。此版本包含以下新功能：非投票节点：专用于优化性能的存储节点。恢复模式：类似于执政官的恢复模式，一个安全的紧急模式，直接管理金库的存储。UI改进：新的UI可以更好地管理集成存储和下载/管理快照。对集成存储后端系统的改进，以提高性能和稳定性。集成存储处于测试阶段，因此，我们不建议或不支持将集成存储用于生产工作负载。我们将继续与社区合作解决错误修复和测试，并计划在即将发布的Vault版本中创建一个参考体系结构并完全支持集成存储作为生产系统的存储后端。有关集成存储的更多信息，请参阅我们的学习指南和系统文档。»Active Directory签入/签出从vault1.1开始，我们开始改进特性，以改进静态凭证系统的特权访问管理。Vault 1.3通过添加新功能来支持Active Directory凭据的签入/签出管理，继续了这一重点。检入/检出是一项新功能，允许Vault用户管理系统中可用的一组广告凭据。此AD凭据的选择可以在团队中共享，这样每个团队成员一次只能使用一个选定的凭据，并且在用户重新签入其凭据时，凭据会轮换。有关AD签入/签出的更多信息，请参阅我们的学习指南和系统文档。»保管库调试Vault团队的一个不变的目标是改进部署、配置和管理Vault的体验。Vault 1.3通过发布新的CLI命令Vault debug，为实现这一目标引入了新功能。Debug是一个命令，用于收集有关节点运行状况的指标，包括复制状态、主机信息（如可用内存）、服务器的配置状态等。一旦收集到这些数据，这些数据将输出到tarball存档。然后，可以将这些健康指标与HashiCorp Customer Success等团队共享，以支持问题根本原因分析中的调查。vault调试访问的某些数据可能非常敏感。因此，Vault仅从Vault用户通过其ACL策略访问的端点收集调试数据。如果尝试使用vault debug的用户没有访问特定目标的特定终结点的权限，则将忽略其输出，并在审核日志中记录权限错误。从vault调试输出生成的存档应小心处理。Vault不会以本机方式加密此存档，我们建议用户在选择共享时通过加密的通道传输此存档。有关vault调试的详细信息，请参见文档。»路径过滤器注意：这是Vault Enterprise功能在Vault 0.8中，我们引入了装载过滤器，该功能允许Vault企业管理员选择不会在复制过程中转发的装载（以及机密）。Mount Filters成功地支持了企业治理和法规遵从性工作负载，特别是支持诸如GDPR之类的法规遵从性要求，因为GDPR限制了某些机密的地理移动。随着vault0.11中名称空间的引入，Vault Enterprise引入了一种新的方法来分段机密，这些机密与Mount Filters在复制群集之间管理数据分布的能力不匹配。在Vault 1.3中，我们将发布新功能，使Vault用户能够指定路径过滤器。这些路径过滤器允许对命名空间中的装载进行过滤，类似于现有的装载过滤器，允许命名空间管理员指定在性能复制中将忽略命名空间中的哪些机密。有关路径筛选器的详细信息，请参阅文档。»Oracle云基础设施（OCI）集成Vault 1.3发布了几个新的端点来支持Oracle云工作负载。这些功能由Oracle云工程团队开发，包括以下内容：OCI Auth Method：一种认证方法，用于将Oracle云基础设施应用程序和用户验证到保险库中。OCI对象存储后端：支持在Oracle云基础结构对象存储中存储Vault数据。OCI自动解封：使用Oracle云基础设施密钥管理系统自动解封保险库群集。有关更多信息，请参见Oracle的公告博客。»其他特性Vault 1.3中有许多新功能是在1.2.x版本中开发的。我们总结了以下几个较大的特性，并一如既往地参考变更日志以获取完整的详细信息：改进的KMIP支持：Vault现在支持注册外部派生密钥的KMIP操作，以更好地支持Vault作为企业应用程序和系统的外部密钥管理系统。有关详细信息，请参阅KMIP服务器机密引擎文档。Stackdriver度量同步：Vault现在可以向Stackdriver发送度量。有关详细信息，请参阅配置文档。P384支持：现在在Transit secret引擎中，P-384（secp384r1）和P-521（secp521r1）ECDSA曲线支持签名和验证。AES128-GCM96支持：加密和解密现在通过AES128-GCM96在传输机密引擎中得到支持。»升级详细信息Vault 1.3引入了重要的新功能。因此，我们提供了一般升级说明和Vault 1.3特定的升级页面。一如既往，我们建议在隔离环境中升级和测试此版本。如果您遇到任何问题，请在Vault GitHub问题跟踪器上报告这些问题，或发送到Vault邮件列表。有关HashiCorp Vault Enterprise的详细信息，请访问https://www.hashicorp.com/products/vault。用户可以从以下位置下载Vault的开放源代码版本：https://www.vaultproject.io。希望您喜欢Vault 1.3！