Ich gebe es zu: Wir hatten Datenbankpasswörter in Kubernetes Secrets (Base64-kodiert, nicht verschlüsselt), API-Schlüssel in Umgebungsvariablen. HashiCorp Vault ändert das — ein zentraler, verschlüsselter, auditierter Secrets-Speicher.
Das Problem: Secrets Sprawl¶
Kubernetes Secrets sind Base64-kodiert, nicht verschlüsselt. Jeder mit Zugriff auf etcd kann sie lesen. Das ist nicht sicher.
Vault-Architektur¶
- Seal/Unseal — Sie benötigen N von M Schlüsseln zum Entsiegeln
- Auth Backends — LDAP, Kubernetes, AWS IAM, GitHub
- Secret Engines — KV Store, Dynamic Credentials, PKI
- Policies — HCL-Regeln, wer was darf
- Audit Log — jeder Request wird protokolliert
Kubernetes-Integration¶
vault login -method=kubernetes \
role=api-server \
jwt=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
vault kv get secret/production/database
Dynamic Secrets — Game Changer¶
Vault kann temporäre Datenbankpasswörter generieren. Anwendungen fordern Credentials an, Vault erstellt einen Benutzer in PostgreSQL mit TTL und löscht ihn nach Ablauf. Keine geteilten Passwörter, keine permanenten Credentials.
Secrets Management ist das Fundament sicherer Infrastruktur¶
Vault ist nicht trivial zu deployen, aber zentralisiertes, auditiertes Secrets Management ist für Produktionsumgebungen unerlässlich.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns