Vaultとは

 

Vaultとは

機密情報(Secret) を管理するツール

 

機能

安全な機密情報ストレージ ( Secure secret storage ):任意のキー・バリュー情報を Vault に保管できます。これらの情報は一貫性のあるストレージに書き込まれる前に暗号化されるので、単なるストレージでは十分得られなかった機密情報に関するアクセスを提供します。Vaultはディスクだけでなく、Consul 等にも書き込めます。

  • 動的な機密情報 ( Dynamic secrets ):Vault は AWS や SQL データベースのように、複数のシステム向けにオンデマンドで機密情報を生成することができます。例えば、アプリケーションが S3 バケットにアクセスする必要があるとき、Vault に credential を訊ねると、Vault はオンデマンドで適切な権限を持つ AWS キーペアを生成します。動的に生成した後、使う必要がなくなれば Vault は自動的にそれらの情報を無効化します。

  • 貸与と更新 ( Leasing and renewal ):Vault における全ての機密情報は、それと結び付けられる貸与先の情報を持ちます。貸与が終わると、Vault は自動的に機密情報を無効化しします。クライアントは組み込み済み(ビルトイン)の API を使って、新しく情報を更新できます。

  • 無効化 ( Revocation ):Vault は機密情報の無効化機能を内蔵しています。Vault が無効化できるのは単一の情報だけでなく、ツリー情報も扱えます。例えば、Vault は特定のユーザにおける読み込み全ての権限を無効化するか、特定のタイプに対する全ての権限を無効化できます。無効化機能は、不正侵入時におけるシステムの整理時、鍵のローリング(差し替え)を手助けします。これらはまた、組織において”brake glass”(ガラスを割る)ような手順の計画と訓練もできるようになります。

  • データ暗号化 ( Data encryption ):Vault はデータの暗号化・複合化を保管せずに行えます。この機能によって、セキュリティ・チームによる暗号化パラメータの決定や、開発者は SQL データベースといった、各々の暗号方式で設計された場所上に、暗号化データをおく必要がなくなります。

  • Auditing ( 監査 ):Vault の全てのアクセスは、複数の監査用バックエンドに送信できます。これにはVault のあらゆる種類のアクセス、例えば成功や失敗、設定、データへのアクセス等を含みます。監査ログは syslog やファイル等へ送信できます。複数の監査バックエンド機能により、監査ログの冗長化された複製を実現します。

  • 複数の認証方式 ( Multiple authentication methods ):Vault は認証に関する複数の方式(それぞれ独立しています)を取り込んでいますので、自分の組織にとって相応しいものを選ぶことができます。バージョン 0.1 でサポートしているのは、トークン、ユーザ名/パスワード、GitHub、certificates 等です。将来的には、更に多くものが追加されるでしょう

 

 

参考:

http://pocketstudio.jp/log3/2015/04/29/vault/

http://kiririmode.hatenablog.jp/entry/20150429/1430279218

 

http://qiita.com/yunano/items/bfaac7868ce4fb946ee5

カテゴリー: 未分類タグ:

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です