Udemy Vault Kurse

Das sind meine Notizen von 2021

Udemy bietet mehrere Kurse zum Thema Hashicorp Vault an. Ich habe die zwei gemacht, die nicht speziell auf eine Prüfung vorbereiten:

• Getting Started with Hashicorp Vault (Updated for 2021)
• Hashicorp Vault: The Advanced Course

Es gibt dann noch zwei Kurse, die auf die Prüfung zum "Vault Associate" vorbereiten sollen:

• Hashicorp Certified: Vault Associate 2021
• Hashicorp Certified: Vault Associate Practice Exam 2021

Alle Kurse sind von Bryan Krausen, der auch auf Twitter und auf Github aktiv ist. Krausen ist offenbar im Moment dabei die Kurse zu überarbeiten. Deshalb bemerkt man insbesondere im ersten Kurs leichte Überschneidungen und "Anschlußfehler".

Ein paar Dinge hatte ich mitnotiert. Entweder weil ich sie noch nicht kannte oder weil ich sie wieder vergessen hatte.

• Vault Deployments
  • Vault sollte unter einem eigenen User laufen.
  • Wenn Consul als Vault Storage-Backend verwendet wird, sollte dieses Consul-Cluster exklusiv für Vault benutzt werden und keine anderen Funktionen übernehmen.
  • In Cloudumgebungen mit drei AZs werden Consul-Cluster, die aus fünf Nodes bestehen, 2:2:1 auf die AZs verteilt.
  • bei Clustern gilt eher die Strategie "scale up" nicht "scale out"
  • Vault startet nicht, ohne dass mindestens ein "Audit Device" (z. B. Logfile) konfiguriert ist. Diese müssen dann natürlich auch entsprechend gesichert und geschützt werden.
  • Shell-History sollte auf den Vault-Nodes abgeschaltet werden (auf jeden Fall für vault-Kommandos)
  • TLS sollte immer angeschaltet sein - ebenso für Consul
  • die UI sollte idealerweise abgeschaltet sein
  • es ist sinnvoll, Consul als Loadbalancer zu verwenden (leider ist dem Kurs nicht zu entnehmen, ob das dann der Storagecluster machen soll)
  • Da der Encryption Key für das Storage-Backend im Speicher gehalten wird, ist es sinnvoll den Speicher zu betrachten, wenn es um Sicherheit geht
    • wieviele Ebenen der Virtualisierung sind sinnvoll (Blech, VM, Container) kontrollierbar?
    • Swap abschalten
    • Core dumps verhindern
• Vault kann Versioning (ähnlich wie auch verschiedene Secret Manager in Cloudumgebungen)
  • vault kv get -version=1 <path>
  • damit ist dann natürlich auch ein undelete möglich
  • max versions richtig einstellen, um festzulegen, wieviele Versionen maximal aufgehoben werden sollen

Es gibt durchaus interessante Enterprise Features, die ich noch nicht kannte. 

• Sentinel
  • Performance impact
• Namespaces
  • Vault-as-a-Service
  • Multi-Tenant Vault mit zentralisiertem Management
  • delegated administration

Auch über Consul gab es ein paar interessante Anmerkungen:

• ACLs können zwar aktiviert sein ("enabled": true) aber mit "default_policy": "allow" quasi unbenutzt bleiben.
• Autopilot, Zone, Fault-Zone, voting/non-voting Nodes (Enterprise Funktionen)
• Die Kommunikation mit dem Consul-Cluster, welches als Storage-Backend für Vault verwendet wird, sollte immer über einen lokal installierten Consul-Agent erfolgen.
• Consul Snapshots (Enterprise Funktion) für Backups
• Consul-Cluster können nicht mit einer "default_policy": "deny" gebootstrapped werden