HashiCorpは米国時間6月12日、「HashiCorp Vault 1.17」を一般提供した。新しいセキュリティワークフロー、パフォーマンスの向上、シークレット管理のスケーラビリティーの改善などが含まれているという。
HashiCorp Vaultは、シークレット管理、データ暗号化、アイデンティティー管理、その他のワークフロー機能をあらゆるインフラ上にあるアプリケーションに対して提供する。
Vault 1.17の主な機能追加の一つとして、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud」に対するWorkload Identity Federation(WIF)がある。WIFは、セキュリティ認証情報をVaultプラグインに提供する際の懸念を取り除くという。
WIFに関する今回のサポートは、外部システムとVaultのアイデンティティートークンプロバイダーとの間で信頼関係を構築し、外部システムへのアクセスを可能にする。これにより、AWS、Azure、Google Cloudといった外部システムと統合されるプラグインに対し、シークレットレスな構成が可能になるとHashiCorpは説明する。
Vault 1.17は、公開鍵基盤(PKI)証明書管理について、IoT/ESTベースデバイスとカスタム証明書メタデータもサポートした。
Vault PKIでは、Enrollment over Secure Transport(EST)プロトコルを使った大規模な登録要件に基づいてX.509証明書を自動化するサポートが追加された。Vaultの証明書自動化により、アプリケーション、仮想マシン、コンテナー、ネットワーク機器、インフラ、モノのインターネット(IoT)デバイスをPKI ESTで登録・保護できるようになった。
接続されたデバイスとサービスの数が急増することで、企業の攻撃対象領域が拡大し、重大なリスクとなるという。デバイスとサービスの通信を保護することは重要だが、手作業やその場しのぎの証明書ライフサイクル管理は、規模が大きい場合には現実的でなく、人為的ミスによりさらなるセキュリティリスクを発生させる可能性があるとHashiCorpは指摘する。
カスタム証明書メタデータのサポートにより、証明書署名要求(CSR)とともに追加のカスタムメタデータを送信できる。Vault PKIは、発行された証明書とともにメタデータを保持し、将来的な処理で外部システムに取り込めるようにする。
Vault PKIに送信されている標準のCSRに含まれないが、CSRに関連したカスタムメタデータを保存する機能が求められていると同社。一部では、そのようなメタデータの維持を目的に手作業や代替の方法が使われているが、ソリューションとしての信頼度が低く拡張性に欠けるという。
