Vault bietet weit über den Funktionsumfang klassischer Passwort-Manager hinaus die Möglichkeit zur strukturierten Verwaltung und Verteilung von Geheimnissen und zum dynamischen Umgang mit Benutzer-Zugängen. Die Policy-basierte Autorisierung ermöglicht gemeinsam mit den Authentifikations- und Audit-Backends eine technisch und prozessual sichere Verwendung, nicht nur in Cloud-Umgebungen. Gegenüber dem von der Grundidee ähnlichen Programm Keywhiz [4] wirkt die Struktur und Datenhaltung von Vault etwas besser durchdacht und flexibler.
Die Nutzung von Shamir-Secret-Sharing ist sinnvoll, um die Verantwortung zuverlässig auf mehreren Schultern zu verteilen. Das Stoppen der Bereitstellung, etwa in einem Notfall, kann hingegen auch ein Administrator allein erledigen. Authentifikations-Backends wie das GitHub-Backend sind sinnvoll und verlagern die Arbeit von der produktiven auf die administrative Ebene.
Einzig das Erstellen eigener Backends – diese müssten Sie direkt mit Vault kompilieren – gestaltet sich ein wenig umständlich. Ein System zum dynamischen Hinzufügen zur Laufzeit wäre vorteilhaft. Dennoch stellt Vault dank der geringen Einstiegshürde eine sinnvolle Optimierung im Arbeitsalltag eines Administratoren-Teams dar.
(dr)
Eine neue Version der Secrets-Management-Software von Hashicorp ist verfügbar.