HashiCorp Vault 1.21 引入了原生 SPIFFE 身份验证、增强的细粒度密钥恢复功能,以及一个可将密钥直接挂载到 Pod 中且无需 etcd 持久化的 Kubernetes CSI 驱动程序。
📝 详细摘要
HashiCorp Vault 1.21 的发布专注于非人类工作负载的身份驱动安全性和运营效率。关键更新包括原生 SPIFFE 支持,允许微服务使用加密可验证身份(X509/JWT)进行身份验证,以实现零信任架构。细粒度密钥恢复模型得到了扩展,支持数据库角色和 SSH 配置,并辅以面向非技术用户的新 UI。对于 Kubernetes 环境,新的 CSI 驱动程序支持将密钥挂载为临时卷,绕过 etcd 存储以增强安全性。此外,此次更新通过 TOTP 自助注册简化了 MFA 上线流程,并集成了用于物联网和遗留设备证书配置的 SCEP。
💡 主要观点
- 面向非人类工作负载的原生 SPIFFE 身份验证。 使微服务和无服务器函数能够使用可验证身份(SVID)而非静态凭据向 Vault 进行身份验证,从而促进零信任的服务间通信。
created_by 字段,允许开发人员直接通过 API 识别负责密钥版本变更的具体操作者。
💬 文章金句
- Vault Enterprise 1.21 增加了对 SPIFFE(Secure Production Identity Framework For Everyone)的原生支持,这是一个用于在动态环境中为工作负载分配加密可验证身份的开放标准。
- 恢复意外删除或修改的密钥曾经需要从快照中恢复整个集群,这是一种影响所有命名空间的资源密集型操作。
- Vault Enterprise 1.21 引入了一个完全绕过 etcd 的 CSI 驱动程序……密钥仅在 Pod 的生命周期内存在,且永远不会持久化在集群中。
📊 文章信息
AI 评分:85
来源:InfoQ
作者:Diogo Carleto
分类:软件编程
语言:英文
阅读时间:4 分钟
字数:772
标签: HashiCorp Vault, SPIFFE, 密钥管理, Kubernetes, 零信任