HashiCorp Vault Enterprise in AWS

Verschlüsselter Datenspeicher in der Cloud

| Autor / Redakteur: Sascha Möllering * / Stephan Augsten

Eine bei AWS bereitgestellte Schnellstart-Referenz rollt eine hochverfügbare HashiCorp-Vault-Architektur in drei verschiedene Availability Zones einer Region aus.
Eine bei AWS bereitgestellte Schnellstart-Referenz rollt eine hochverfügbare HashiCorp-Vault-Architektur in drei verschiedene Availability Zones einer Region aus. (Bild: AWS Germany GmbH)

„Wir würden gerne HashiCorp Vault Enterprise in AWS mit betreiben, da wir diese Software bereits in unserem einen Datacenter verwenden. Was sind die Best Practices für die Installation und den Betrieb von HashiCorp Vault Enterprise in AWS?“

Datensicherheit ist ein grundlegendes Anliegen aller Unternehmen, wobei diese oft dedizierte Hardware nutzen, um wertvolle Informationen und Secrets zu schützen. Doch es wird immer herausfordernder, die Sicherheit zu skalieren, da sich immer mehr Teile der Infrastruktur in die Cloud verlagert.

HashiCorp Vault ist eine Software zum Speichern, Kontrollieren und Absichern von Tokens, Passwörtern, Zertifikaten und Keys zur Verschlüsselung, um Secrets oder andere sensitive Daten über ein grafisches Benutzerinterface, eine CLI oder HTTP-API zu schützen.

Zusätzlich zu Vault bietet HashiCorp Open-Source-Tools wie Vagrant, Packer, Terraform, Consul und Nomad an. Enterprise-Versionen von Vault, Terraform, Consul und Nomad erweitern die Open-Source-Tools um Funktionen, die die Kollaboration, Governance und Multi-Datacenter-Funktionalität unterstützen.

Integration in AWS

Vault verfügt über eine umfassende Integration mit AWS sowohl in Open-Source- als auch in Enterprise-Editionen. Die Software lässt sich zudem mit dem AWS Key Management Service (KMS) und AWS CloudHSM integrieren, wenn ein mandantenfähiger Zugriff auf manipulationssichere Hardware-Sicherheitsmodelle (HSMs) in einer Virtual Private Cloud (VPC) benötigt wird. Mit Vault lassen sich Datenbank-Anmeldeinformationen verwalten, dynamische X.509-Zertifikate ausstellen, der SSH-Zugriff kontrollieren und vieles mehr.

Eine bei AWS bereitgestellte Schnellstart-Referenz rollt eine hochverfügbare HashiCorp-Vault-Architektur in drei verschiedene Availability Zones einer Region aus.
Eine bei AWS bereitgestellte Schnellstart-Referenz rollt eine hochverfügbare HashiCorp-Vault-Architektur in drei verschiedene Availability Zones einer Region aus. (Bild: AWS Germany GmbH)

Nach der Installation von Vault und der Initialisierung der Software werden zwei Verschlüsselungsschlüssel erstellt – ein Data Encryption Key (DEK) und ein Key Encryption Key (KEK), auch bekannt als Master Key. Der DEK erstellt die kryptografische Barriere in Vault, und alle Daten, die zwischen Vault und dem Speicher-Backend fließen, passieren die kryptografische Barriere.

Diese Barriere garantiert, dass Daten, die in das Speicher-Backend für persistente Speicherung geschrieben werden, vom DEK verschlüsselt werden. Wenn Vault Daten aus dem Speicher-Backend zurückholen muss, werden die Daten vom DEK auf dem Rückweg verifiziert und entschlüsselt.

Falls ein höherer Automatisierungsgrad angestrebt oder in stark regulierten Umgebungen gearbeitet werden soll, bietet Vault Enterprise Integrationen in folgende AWS-Services an: AWS CloudHSM und AWS Key Management Service (KMS). Beide Dienste bieten eine von FIPS 140-2 unterstützte Hardware zur Sicherung von kryptografischen Schlüsseln.

Für viele Unternehmen ist AWS KMS der bevorzugte Dienst zur Sicherung ihrer kryptographischen Schlüssel. In ausgewählten Fällen, in denen ein Unternehmen den Einsatz eines nach FIPS 142 Level 3 validierten HSM mit nur einem Mandanten erfordert, ist CloudHSM erforderlich.

CloudHSM ist ein Cloud-basiertes Hardware-Sicherheitsmodul, mit dem auf einfache Weise eigene Verschlüsselungscodes in der AWS-Cloud generiert und verwendet werden kann. Mit CloudHSM können eigene Verschlüsselungsschlüssel mit Hilfe von FIPS 140-2 Level 3 validierten HSMs verwaltet werden.

Installation von HashiCorp Vault in AWS

Ein QuickStart-Guide erläutert die Installation von HashiCorp Vault in AWS. Dabei wird eine hochverfügbare Architektur in drei verschiedene Availability Zones einer Region ausrollt. Diese Architektur besteht aus:

  • Einer Virtual Private Cloud (VPC) mit öffentlichen und privaten Subnetzen über drei verschiedene Availability Zones. Dies ist die Basisnetzwerkinfrastruktur für das HashiCorp Vault-Deployment.
  • Ein Internet Gateway, um Zugriff auf das Internet zu gewärleisten.
  • Linux Bastion Hosts In den öffentlichen Subnetzen, um Zugriff über Secure Shell (SSH) auf die EC2 Instanzen in den privaten Subnetzen zu gewährleisten.
  • In den privaten Subnetzen eine HashiCorp Consul-Umgebung (so wie in dem HashiCorp Consul Quick Start Deployment Guide beschrieben). Vault nutzt Consul DNS zur Integration mit Consul.
  • In den privaten Subnetzen zwei Vault Server-Knoten.

In dem GitHub-Repository des QuickStart Reference Deployments befinden sich mehrere AWS CloudFormation-Templates, mit dessen Hilfe die Lösung im eigenen AWS Account auf Knopfdruck ausgerollt werden kann.

Fazit

Sascha Möllering
Sascha Möllering (Bild: AWS Germany GmbH)

HashiCorp Vault ist eine Software, die die Verwaltung und Nutzung von Keys zur Verschlüsselung, Secrets oder anderen sensitiven Daten deutlich erleichtert. Die Lösung integriert sich in AWS Services wie AWS CloudHSM und AWS KMS, falls hohe Automatisierung gefordert ist oder hohe Compliance-Anforderungen bestehen.

* Sascha Möllering arbeitet als Solutions Architect bei der Amazon Web Services Germany GmbH. Seine Interessen liegen in den Bereichen Automation, Infrastructure as Code, Distributed Computing, Container und JVM.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45704121 / Content Management)