:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/ce/99/ce994c9dce9fac6c16e96a2871e6c3be/0110414706.jpeg "Nur im Zuge einer umfangreichen Security-Strategie lässt sich ein heterogenes Endpoint-Universum vor Bedrohungen zu schützen. (Bild: <a href=https://pixabay.com/users/coolvid-shows-18646168/>CoolVid-Shows</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/85/49/854932edf414b2f888be89bd3ddf447c/0111835486.jpeg "Cloud Native Rockstars on stage (oben, v.l.): Thomas Hartinger, Phil Korte, Alina Schneider, Nadège Jakob, Tobias Renk, Sebastian Kister, Volker Zöpfel und Linda Früh, daneben die Juroren Dr. Jens Eckhard und Dr. Nils Kaufmann mit Vorjahres-Preisträgerin Emma Wehrwein. In der unteren Reihe (v.l.) Erik Schubert, Moderatorin Lydia Hundsdörfer und Stephan Augsten von den Vogel IT-Medien, Stefan Jacobs, Juror und Keynote-Speaker Maximilian Hille sowie Preisträger Tim Urlaub. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/19/7b19253be9adc79579f0725469c0776a/0111556272.jpeg "Eine Cloud-Migration harmoniert gut mit den DevOps-Prinzipien, die dadurch ein Revival erleben könnten- (Bild: <a href=https://pixabay.com/users/bearinthenorth-2960032/>Anastasia Borisova</a>)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/d3/13d37d2a255166d3b801341d81ff0cff/0111621162.jpeg "Automobilarchitekturen wandeln sich zu zonalen, zentralen Rechenzentren und schließlich zu Software Defined Vehicles. (Bild: © – vegefox.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/53/3253e183359754bee5c1b52b1fc0aff6/0111206462.jpeg "Die Datenbankevolution treibt KI, ML und Deep Learning, was die Art und Weise des menschlichen Wissenserwerbs widerspiegeln soll, weiter an. (Bild: Dimitrios - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/dd/55ddac3b4e6f52d4b2584f77a72db2ee/0111768534.jpeg "MariaDB hat die Observability-Funktionen von SkySQL weiter ausgebaut. (Bild: Mohamed Hassan)")
:quality(80)/p7i.vogel.de/wcms/ec/92/ec9271497f9a497ec5c149833911b065/0111435523.jpeg "In den Fachabteilungen wissen die Angestellten genau, welche Tools sie benötigen – warum unkomplizierte Anwendungen nicht selbst bauen lassen? (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/19/1d/191d69675e71d858a172728556fcbafb/0111041367.jpeg "OVHcloud hat mit AI Deploy einen neuen Service für KI-Anwendungen veröffentlicht. (Bild: OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
HashiCorp Vault Enterprise in AWS Verschlüsselter Datenspeicher in der Cloud
„Wir würden gerne HashiCorp Vault Enterprise in AWS mit betreiben, da wir diese Software bereits in unserem einen Datacenter verwenden. Was sind die Best Practices für die Installation und den Betrieb von HashiCorp Vault Enterprise in AWS?“
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
Datensicherheit ist ein grundlegendes Anliegen aller Unternehmen, wobei diese oft dedizierte Hardware nutzen, um wertvolle Informationen und Secrets zu schützen. Doch es wird immer herausfordernder, die Sicherheit zu skalieren, da sich immer mehr Teile der Infrastruktur in die Cloud verlagert.
HashiCorp Vault ist eine Software zum Speichern, Kontrollieren und Absichern von Tokens, Passwörtern, Zertifikaten und Keys zur Verschlüsselung, um Secrets oder andere sensitive Daten über ein grafisches Benutzerinterface, eine CLI oder HTTP-API zu schützen.
Zusätzlich zu Vault bietet HashiCorp Open-Source-Tools wie Vagrant, Packer, Terraform, Consul und Nomad an. Enterprise-Versionen von Vault, Terraform, Consul und Nomad erweitern die Open-Source-Tools um Funktionen, die die Kollaboration, Governance und Multi-Datacenter-Funktionalität unterstützen.
Integration in AWS
Vault verfügt über eine umfassende Integration mit AWS sowohl in Open-Source- als auch in Enterprise-Editionen. Die Software lässt sich zudem mit dem AWS Key Management Service (KMS) und AWS CloudHSM integrieren, wenn ein mandantenfähiger Zugriff auf manipulationssichere Hardware-Sicherheitsmodelle (HSMs) in einer Virtual Private Cloud (VPC) benötigt wird. Mit Vault lassen sich Datenbank-Anmeldeinformationen verwalten, dynamische X.509-Zertifikate ausstellen, der SSH-Zugriff kontrollieren und vieles mehr.
Nach der Installation von Vault und der Initialisierung der Software werden zwei Verschlüsselungsschlüssel erstellt – ein Data Encryption Key (DEK) und ein Key Encryption Key (KEK), auch bekannt als Master Key. Der DEK erstellt die kryptografische Barriere in Vault, und alle Daten, die zwischen Vault und dem Speicher-Backend fließen, passieren die kryptografische Barriere.
Diese Barriere garantiert, dass Daten, die in das Speicher-Backend für persistente Speicherung geschrieben werden, vom DEK verschlüsselt werden. Wenn Vault Daten aus dem Speicher-Backend zurückholen muss, werden die Daten vom DEK auf dem Rückweg verifiziert und entschlüsselt.
Falls ein höherer Automatisierungsgrad angestrebt oder in stark regulierten Umgebungen gearbeitet werden soll, bietet Vault Enterprise Integrationen in folgende AWS-Services an: AWS CloudHSM und AWS Key Management Service (KMS). Beide Dienste bieten eine von FIPS 140-2 unterstützte Hardware zur Sicherung von kryptografischen Schlüsseln.
Für viele Unternehmen ist AWS KMS der bevorzugte Dienst zur Sicherung ihrer kryptographischen Schlüssel. In ausgewählten Fällen, in denen ein Unternehmen den Einsatz eines nach FIPS 142 Level 3 validierten HSM mit nur einem Mandanten erfordert, ist CloudHSM erforderlich.
CloudHSM ist ein Cloud-basiertes Hardware-Sicherheitsmodul, mit dem auf einfache Weise eigene Verschlüsselungscodes in der AWS-Cloud generiert und verwendet werden kann. Mit CloudHSM können eigene Verschlüsselungsschlüssel mit Hilfe von FIPS 140-2 Level 3 validierten HSMs verwaltet werden.
Installation von HashiCorp Vault in AWS
Ein QuickStart-Guide erläutert die Installation von HashiCorp Vault in AWS. Dabei wird eine hochverfügbare Architektur in drei verschiedene Availability Zones einer Region ausrollt. Diese Architektur besteht aus:
- Einer Virtual Private Cloud (VPC) mit öffentlichen und privaten Subnetzen über drei verschiedene Availability Zones. Dies ist die Basisnetzwerkinfrastruktur für das HashiCorp Vault-Deployment.
- Ein Internet Gateway, um Zugriff auf das Internet zu gewärleisten.
- Linux Bastion Hosts In den öffentlichen Subnetzen, um Zugriff über Secure Shell (SSH) auf die EC2 Instanzen in den privaten Subnetzen zu gewährleisten.
- In den privaten Subnetzen eine HashiCorp Consul-Umgebung (so wie in dem HashiCorp Consul Quick Start Deployment Guide beschrieben). Vault nutzt Consul DNS zur Integration mit Consul.
- In den privaten Subnetzen zwei Vault Server-Knoten.
In dem GitHub-Repository des QuickStart Reference Deployments befinden sich mehrere AWS CloudFormation-Templates, mit dessen Hilfe die Lösung im eigenen AWS Account auf Knopfdruck ausgerollt werden kann.
Fazit
HashiCorp Vault ist eine Software, die die Verwaltung und Nutzung von Keys zur Verschlüsselung, Secrets oder anderen sensitiven Daten deutlich erleichtert. Die Lösung integriert sich in AWS Services wie AWS CloudHSM und AWS KMS, falls hohe Automatisierung gefordert ist oder hohe Compliance-Anforderungen bestehen.
* Sascha Möllering arbeitet als Solutions Architect bei der Amazon Web Services Germany GmbH. Seine Interessen liegen in den Bereichen Automation, Infrastructure as Code, Distributed Computing, Container und JVM.
(ID:45675848)
:quality(80)/images.vogel.de/vogelonline/bdb/1944900/1944962/original.jpg "Kubernetes birgt mit Blick auf die Sicherheit einige Besonderheiten. (shane - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952200/1952282/original.jpg "Who is who: Bei einer Zero-Trust-Richtlinie gilt es, vor einem Zugriff jeden Benutzer bzw. jede Transaktion zu überprüfen. (Delphix)")