我们很高兴地宣布发布HashiCorp vault0.9。Vault是一种基础设施自动化安全产品，提供机密管理、加密即服务和特权访问管理。Vault的0.9版本侧重于改进Vault在全球分布的多云环境中的治理和数据安全功能的新功能。0.9中的新功能包括：标识：一个集成的系统，用于在用户的登录和令牌中理解个人或系统的身份，并将此信息用于策略和访问控制决策。这包括两部分：实体：单个个人或系统的一种表示形式，在登录时保持一致，以简化访问控制和审核。实体将客户端绑定到一个更容易管理的长寿命逻辑标识中。客户端可以将其逻辑标识与多个标识服务相关联。组：实体和其他组的集合，它们了解来自上游身份提供者的组成员身份，并提供策略和访问控制的轻松分配。组可以是其他组的成员，这样可以更好地进行组织建模和管理。Seal Wrap/FIPS 140-2法规遵从性（Vault Enterprise）：Vault可以利用FIPS 140-2认证的HSMs，确保以符合要求的方式保护关键安全参数。Vault的实现已经收到了来自Leidos的一封符合性信函。新的Vault UI（Vault Enterprise）：以图形方式管理Vault群集的新用户体验。控制组（Vault Enterprise）：要求多个标识实体或标识组的成员在允许运行请求的操作之前对其进行授权。云自动解封（Vault Enterprise）：使用AWS密钥管理系统（KMS）和Google云平台（GCP）云KMS自动解封保险库群集。Sentinel Integration（Vault Enterprise）：利用HashiCorp Sentinel提供极其灵活的访问控制策略——即使在未经验证的端点上也是如此。该版本还包括附加的新功能、安全工作流增强、常规改进和错误修复。Vault 0.9更改日志提供了功能、增强功能和错误修复的完整列表。和往常一样，我们向社区致谢，感谢他们的想法、错误报告和拉取请求。»身份Vault 0.9引入了一种通过新身份系统管理对机密访问的新方法。此系统允许Vault跨令牌了解单个用户和计算机的身份，并通过组进行管理。身份系统有两个基本组成部分：实体和团体。身份组将成为未来Vault特权访问管理故事中的一个重要部分，我们将在Vault和Vault Enterprise的未来版本中以这一功能为基础构建新的增强和功能。以下是更多信息；这里提供完整的身份证明文件。»身份实体实体是单个的逻辑标识，表示用户和应用程序跨使用auth后端生成的任何令牌，甚至多个auth后端。例如，用户可能具有AWS凭据以及LDAP或activedirectory凭据。这些单独的凭据（在Vault Identity中称为别名）和这些凭据生成的所有令牌都被识别为引用Vault各个部分中的单个用户或应用程序。Vault通过将多个身份提供者（IDP）桥接到一个公共标识中，简化了跨多个身份提供者（IDP）的管理。如果没有任何客户端可以访问Vault中的机密，则Vault将自动创建一个实体。实体可以有分配给它们的策略，这些策略应用于与该实体关联的所有令牌。它们也可以在Sentinel策略中引用，在实体上设置的自定义元数据也可以在Sentinel策略中引用。这可以用来对实体进行分组，但是身份系统也支持真正的组。»标识组Vault的标识系统还包含管理组中实体组织的功能。组可以是直接在Vault中管理的内部组，也可以是来自外部身份提供程序的外部组。在身份验证时，用户的外部组信息将返回到Vault，Vault可以自动将用户分类到Vault的标识系统中的相应组中。与实体类似，组可用于分配策略和元数据。组可以包含直接实体成员，也可以包含其他组。这允许通过使用标识组快速轻松地授予对Vault中机密和功能的访问权限，对自动化进行重大增强。»新建Vault UI（注意：这是Vault Enterprise Pro功能）Vault 0.9为Vault Enterprise Pro和Vault Enterprise Premium用户引入了一种新的用户体验，可以主要从图形用户界面管理其群集环境。Vault Enterprise的新用户体验侧重于使Vault与其他HashiCorp Enterprise产品的设计语言保持一致，从而允许使用Vault Enterprise的操作员在使用其他产品（如Terraform Enterprise）时拥有类似的体验。新的Vault UI还扩展了Vault Enterprise早期版本中的功能。在Vault 0.9中，用户还可以参与机密管理的常见工作流，包括完全在GUI中配置后端（如AWS IAM secret后端）。»云自动解封（注意：这是Vault Enterprise Pro功能）Vault 0.9引入了新形式的自动解封功能。以前，Vault Enterprise Premium群集在与硬件安全模块（HSM）耦合时可以自动解封。通过Vault Enterprise Pro和Vault Enterprise Premium中提供的新功能，Vault系统现在可以与基于云的密钥管理系统集成，以自动打开保险库群集的过程。这简化了Vault的解封过程，并使Vault的信任根可以分布到其他高度安全的系统中。在Vault 0.9中，Vault Enterprise支持在AWS KMS和GCP Cloud KMS上自动解封。在未来的版本中，我们将继续在云自动解封（cloudautounsell）上进行迭代，并通过Azure密钥保险库支持云环境，如microsoftazure。»密封包装/FIPS 140-2合规性注意：这是Vault Enterprise Premium功能Seal Wrap是Vault Enterprise Premium中的新功能，允许Vault使用从外部模块派生的加密对关键安全参数（CSP）进行编码。这些外部加密模块来自Vault可以自动解封的源，包括AWS KMS和GCP Cloud KMS；因此，只要启用了自动解封，就可以使用密封包装。密封包装允许运营商使用政府和监管合规所需的特定加密技术来加强保险库的加密，尤其是美国FIPS 140-2标准。使用密封包装，Vault Enterprise Premium系统可以在与外部模块的密码相同的安全级别上遵守FIPS 140-2密钥传输标准（FIPS 140-2 IG 7.16）和密钥存储（FIPS 140-2 IG D.9）。例如，当在HSM中使用FIPS 140-2安全级别3模块时，Seal Wrap将确保保险库中的加密基础在安全级别3下受到保护。Leidos是一家主要的国防和安全研究实验室，对密封包装进行了FIPS 140-2合规性评估。有关更多详细信息，请参阅保险库合规性信函。有关密封包装的更多信息，请参阅HashiCorp Vault Completes FIPS 140-2评估新闻稿。»对照组注意：这是Vault Enterprise Premium功能控制组允许保险库中的给定请求要求一个或多个身份组成员作为"看门人"进行授权。此授权要求几乎可以应用于任何Vault请求，无论是生成动态机密还是更改Vault配置。例如，可以将策略设置为要求任何生产Postgres凭据请求都由"DBA Admin"标识组的成员批准。控制组旨在帮助保险库企业系统按照欧盟GDPR或HIPAA等法规存储数据，这些法规要求多个授权人才能访问某些类型的敏感信息。有关控制组的详细信息，请参阅控制组文档。»哨兵集成注意：这是Vault Enterprise Premium功能vault0.9增加了与Sentinel的集成，HashiCorp的策略作为代码框架。Vault Enterprise Premium支持两种类型的哨兵策略，用于管理对Vault机密和功能的访问。角色授予策略（或rgp）关注特定身份或身份组如何访问机密。端点授权策略（或egp）专注于管理对特定API端点的访问，包括未经验证的路径，如登录路径。通过rgp和EGPs，运营商可以创建并实施强大的哨兵策略，以代理对保险库内机密的访问。例如，可以创建一个策略，要求特定标识组中的实体在尝试访问保险库中的机密时必须通过公司内部IP地址进行连接并通过多因素身份验证。有关Sentinel在Vault中集成的更多信息，看：哨兵保险库文档»其他特性Vault 0.9中有许多新功能是在0.8.x版本中开发的。我们总结了下面几个较大的特性，并一如既往地参考变更日志以获得完整的细节。RSA传输后端支持—支持使用RSA密钥通过Vault的传输后端对数据进行加密和签名。Kubernetes Auth后端-将Vault与Kubernetes集成，以向POD提供访问令牌。Lazy Lease Loading-通过异步加载，极大地减少了启动保险库或让新的HA节点开始工作所需的时间