HashiCorp Vault 1.12 Adds New Secrets Engines, ADP Updates, та більше

Нові HashiCorp Vault 1.12 фокусуються на керуванні керівними потоками та керування key features production-ready.

Використовуєте загальну оцінку загальної доступності HashiCorp Vault 1.12. Vault забезпечує secrets management, data encryption, and identity management for any application on any infrastructure.

Vault 1.12 focuses на вдосконалення Vault's core workflows як добре, як adding нові особливості таких як Redis і Amazon ElastiCache secrets engines, на новий PKCS#11 provider, improved Transform secrets engine usability, updated resource quotas, exp .

Key features and improvements in Vault 1.12 include:

• PKCS #11 provider (Vault Enterprise): Added Vault PKCS#11 provider, який забезпечує Vault KMIP secrets engine to be used via PKCS#11 calls. Підтримувачі підтримують subset of key generation, encryption, decryption, and key storage operations.
• Transparent Data Encryption for Oracle (Enterprise): Support for Vault to manage encryption keys for Transparent Data Encryption (TDE) with Oracle servers.
• Transform secrets engine (Vault Enterprise): Додаткові можливості для імпортування externegenerated keys for bring-your-own-key (BYOK) workflows, added MSSQL externa storage support, and added support for encryption key auto-rotation via an auto_rotate_period option.
• Resource quotas: Додаткові шляхи та керовані ресурси quotas with support for API path suffixes and auth mount roles. Для прикладу, під час руху wildcard * може бути прийнято як частина дорожнього руху, так як auth/token/create* можна буде купувати auth/token/create and auth/token/create-orphan but not auth/token/lookup-self .
• Versioned plugins: Включено в концепції versions до plugins, making plugins “version-aware” and enabling release standardization and better user experience when installing and upgrading plugins.
• Namespace custom metadata (Vault Enterprise): Support for specifying custom metadata on namespaces був added. Новий валовий namespace patch command може бути використаний для оновлення існуючих namespaces з custom metadata as well.
• OIDC provider interface update (UI): Наші проекти та користувачі фахівців, що займаються комунікаційним поданням і simplified the setup experience for using Vault as an OIDC provider. З небагатьма UI кнопки, користувачі можуть тепер мати дефект OIDC provider configured and ready to go.
• Okta number challenge interface update (UI): Added support for Okta's number challenge to the Vault UI. Це надійні користувачі, щоб додати Okta number challenge from a UI, CLI, and API.
• PKI secrets engine: Використовують Vault's PKI Engine Revocation Capabilities з метою підтримки для онлайнового Certificate Status Protocol (OCSP) і Delta Certificate Revocation List (CRL) для обміну текстом до головного CRL. Ці зміни відрізняються значною продуктивністю і data transfer improvements до revocation workflows.
• PKI secrets engine telemetry: Support for additional telemetry metrics for better insights in certificate usage of count stored and revoked certificates. Vault's tidy function був також активізований з додатковими метриками, що reflected remaining stored and revoked certificates.
• Redis secrets engine: Added new database secrets engine that supports generation of static and dynamic user roles and root credential rotation on a standalone Redis server. Величезні тенденції до Francis Hitchens, які розповсюджені в репозиторії до HashiCorp.
• Amazon ElastiCache secrets engine: Added new database secrets engine that generates static credentials for existing managed roles in Amazon ElastiCache.
• LDAP secrets engine: Added new LDAP secrets engine that unifies the user experience between the Active Directory (AD) secrets engine and OpenLDAP secrets engine.Цей новий інструмент підтримує всі реалізації від ланцюжка mentioned above (AD, LDAP, і RACF) і brings dynamic credential capabilities for users relying on Active Directory.
• KMIP secrets engine (Vault Enterprise): Додаткова підтримка до KMIP secrets engine for operations and atributes in Baseline Server profile, in addition to already supported Symmetric Key Lifecycle Server and the Basic Cryptographic Server profiles.

Це функція також включає додаткові нові особливості, workflow enhancements, general improvements, and bug fixes.

» PKI Secrets Engine Improvements

Використовуються Vault PKI Engine's revocation capabilities by adding support for Online Certificate Status Protocol (OCSP) and delta CRL для зміни трафіку до головного CRL. . Additionally, support for automatic CRL rotation and periodic tidy operations helps reduce operator burden, alleviate demand on cluster resources during periods of high revocation, and ensure clients are always served valid CRLs, support for bring-your-own-cert certificates and, для proof-of-possesion (PoP), дозволяється end users to safely revoke their own certificates (з відповідним приватним key) безоператора intervention.

• PKI and managed key support for RSA-PSS signatures: Since його початковий простір, Vault's PKI secrets engine supported only RSA-PKCS#1v1.5 (public key cryptographic standards) signatures for issuers and leaves.Сформулювати з підходом з Національного інституту стандартів і технологій (NIST) навколо key transport і для компетентності з новим hardware security module (HSM) firmware, будуть включати support for RSA-PSS (probabilistic signature scheme) signatures. Натисніть на розділ на PSS Додаток у документі PKI для обмеження цього значення.
• PKI telemetry improvements: Цей випадок additional telemetry до Vault's PKI secrets engine, сприяючи customers для отримання будь-яких insights in certificate usage via the count of stored and revoked certificates. Додатково, Vault tidy функція є розширеною з додатковими метриками, які відображають залишкові stored and revoked certificates.
• Google Cloud Key Manager support: Managed keys let Vault secrets engines (currently PKI) use keys stored in cloud KMS systems for cryptographic operations like certificate signing. Vault 1.12 adds support for Google Cloud KMS до керованого key system, де тільки AWS, Microsoft Azure, і PKCS#11 HSMs були supported.

Для того, щоб дізнатися більше, дивіться PKI Secrets Engine documentation.

» PKCS #11 Provider

Software solutions потребують потреби в криптографічних об'єктах, так як keys або X.509 certificates. Деякі external software повинні також виконувати операції, що включають key generation, hashing, encryption, decryption, and signing. HSMs є традиційно використані як надійні можливості, але можуть бути expensive і вивчати до operationalize.

Vault Enterprise 1.12 є PKCS#11 2.40 compliant provider, extended profile. PKCS#11 is the standard protocol supported for integration with HSMs. Це також має функціональну функціональність і розширення програмного забезпечення для керування key, encryption, і object storage operations. PKCS#11 provider in Vault 1.12 supports subset of key generation, encryption, decryption, and key storage operations.

Protecting sensitive data at rest is a fundamental task for database administrators that enables many organizations to follow industry best practices and comply with regulatory requirements. Administrators of Oracle databases буде також знати, що може бути забезпечений Transparent Data Encryption (TDE) для Oracle, оскільки цей характер. TDE для Oracle дає змогу отримувати реальні терміни часу та запису файлу електронної пошти та перезапису transparentne to end user applications.

Для більшої інформації, скористайтеся PKCS#11 provider documentation.

» Transform Secret Engine Enhancements

Transform is a Vault Enterprise feature that lets Vault use data transformations and tokenization to protect secrets residing in untrusted or semi-trusted systems. Це включає в себе захист compliance-regulated data так, як соціальні безпеки номерів і кредитних карток номерів. Офтименти, дані повинні переміщатися з файлами систем або файли даних для виконання, але повинні бути поміщені в разі системи в яких його територіях є комплексним. Transform is built for the kinds of use cases.

При цьому виконанні, ми підтримуємо здатність до import externally generated keys for BYOK workflows, MSSQL externa storage support, and support for encryption key auto-rotation via an auto_rotate_period option.

• Bring your own key (BYOK): Додаткові можливості для імпортування externegenerated keys для support uses cases where there is a need to bring in existing key from HSM or other outside system. У виконанні 1.11, ми встановили BYOK підтримка Vault, набираючи клієнтів для import existing keys в Vault Transit secrets engine and enabling secure and flexible Vault deployments. Ви бачите, що підтримка в Vault Transform secrets engine in this release.
• MSSQL support: В MSSQL store is now available be be used as an external storage engine with tokenization in the Transform secrets engine. Refer to the following documents: Transform Secrets Engine (API), Transform Secrets Engine, та Tokenization Transform for more information.
• Key auto rotation: Periodic rotation of encryption keys is recomended key management practice for good security posture. В Vault 1.10, we added support for auto key rotation в Transit secrets engine. У Vault 1.12, Transform secrets engine has been enhanced to let users set the rotation policy during key creation in a time interval, which will cause Vault to automatically rotate the Transform keys when the time interval elapses . Refer to the Tokenization Transform and Transform Secrets Engine (API) documentation for more information.

» Other Vault 1.12 Features

Багато нових особливостей в Vault 1.12 мають бути розроблені над курсом 1.11.x releases. Ви можете дізнатися більше про те, як використати ці особливості в наших деталях, hands-on HashiCorp Vault guides. Ви можете повідомити про зміну додаткових подробиць, але тут є кілька великих змін і депресії.

• Terraform provider for Vault: Terraform provider використовує Vault's sys/seal-status endpoint to get the Vault server's version, і буде визначати коректні особливості доступні для використання.
• Vault usage metrics: Доповнено /sys/internal/counters API для підтримки налаштування end_date до поточного місяця. Якщо це є, New_clients полів буде мати загальний номер нових клієнтів, які збираються в поточному місяці.
• Licensing enhancement (Vault Enterprise): Updated license termination behavior так, що production licenses не тривалий час має termino date, які роблять Vault more robust для Vault Enterprise customers.
• AAD Graph on Azure Secrets Engine removed: We added a use_microsoft_graph_api налаштування параметра для використання Microsoft Graph API, без Azure Active Directory API is being removed.
• X.509 certificates with SHA-1 signatures support removed: Please migrate off SHA-1 for certificate signing.Go (Golang) version 1.18 removes support for SHA-1 за допомогою останнього, тому, що ви можете налаштовувати Go навколишнє середовище для переміщення SHA-1 підтримувати, якщо ви потребуєте, щоб використовувати SHA-1 (supported until Go 1.19).
• Standalone database engines impacted experience: Якщо ви використовуєте будь-який standalone database engines, please migrate away from their usage. При цьому виконанні, Vault буде log error messages and shut down. Any atempts to add new mounts will result in an error. Please migrate to database secrets engines.
• AppID impacted experience: Якщо ви використовуєте AppID, необхідно migrate away від його використання. При цьому виконанні, Vault буде log error messages and shut down. Please migrate до AppRole auth метод.

» Upgrade Details

Vault 1.12 встановлює значну нову функціональність. Як такий, please review the Upgrading Vault page, як добре, як Feature Deprecation Notice and Plans page for further details.

Як завжди, ми recommend upgrading і тестування нових виконань в isolated environment. Якщо ви маєте будь-які питання, мабуть, report them на Vault GitHub є трекер або подати до Vault discussion forum. Як reminder, якщо ви робите те, що є питання безпеки в Vault, необхідно відповідати на те, що e-mailing [email protected] — не буде використовувати public issue tracker. Для більш детальної інформації, consulte our security policy and our PGP key.

Більше інформації про Vault Enterprise, visit hashicorp.com/products/vault. Ви можете download open source version of Vault at vaultproject.io.

We hope you enjoy HashiCorp Vault 1.12.