1 of 14

HashiCorp Vault

Enterprise

2 of 14

Connect

THE HASHICORP STACK

Infrastructure and applications

Development

Run applications

Security

Secure infrastructure and applications

Operations

Provision infrastructure

The 4 essential elements�of distributed infrastructure

2

© 2018 HashiCorp

3 of 14

Vault Enterprise

機能名

概要

DR Replication

Vaultクラスター間でトークン、シークレットやキーを含めたレプリケーションをし可用性を向上

Performance Replication

Vaultクラスター間でシークレットなどをレプリケーションし、複数クラスタでリードを処理しパフォーマンスを向上

Performance Standby

1クラスタ内で複数のリードノードを立てパフォーマンスを向上

Control Groups

Response Wrapping Tokenにアクセスする際に認証フローを入れセキュリティを向上

HSM Auto-unseal

Hardware Security Moduleによる自動unseal

Replication Filters

クラスタ間でレプリケーションするデータの条件を指定してフィルタリングをする

Policy as Code (Sentinel)

SentinelによるVault APIコール等に関するポリシーの設定

Multi Factor Authentication

Vaultへの多要素の認証

HashiCorp Support

  • Solutions Engineer, Technical Account Managerによるヘルスチェックや定例MTG
  • 24 * 365のサポート

4 of 14

Performance Standby

Enterprise

OSS

Active

Standby

Standby

read

write

read

write

read

write

Active

Perf Standby

Perf Standby

read

write

read

write

read

write

Cluster

Cluster

5 of 14

DR Replication

Vault Active cluster

(Primary cluster)

Vault Standby Cluster (Secondary)

Token, configuration, Secretなどのレプリケーション

Vault Standby cluster

6 of 14

Performance Replication

Vault Active cluster

(Primary cluster)

Vault Perf Standby cluster

(Secondary cluster)

Vault Perf Standby cluster

(Secondarymary cluster)

read

read

read

write

write

write

Configuration

Secrets

Configuration

Secrets

Configuration

Secrets

転送

転送

複製

複製

7 of 14

DR ReplicationとPerformance Replication

Header

DR Replication

Performance Replication

プライマリクラスタのコングレーションのミラーリング

Yes

Yes

認証やシークレットエンジンなどのプライマリのバックエンドのコンフィグのミラーリング

Yes

Yes

リースやトークンまたはプライマリクラスタとインタラクションをしているユーザのミラーリング

Yes

No.

セカンダリクラスタは独自のデータを持つため、セカンダリがプロモーションするときにアプリやサイド認証をし、新しいプライマリから再度リースやトークンを取得する

セカンダリクラスタがリクエストを処理できるか

No

Yes

8 of 14

Policy as Code (Sentinel)

  • 通常のACLの設定に加えてVaultの安全性を保つためにより高度で柔軟な設定を実現する
    • Role Governing Policies (RGPs)
      • 特定のトークンやIDに関連付けるポリシー
    • Endpoint Governing Policies (EGPs)
      • Vaultの特定のエンドポイントに関連付けるポリシー

9 of 14

Advanced Data Protection:

Transformation Secret Engine

Transformation

フォーマットやデータサイズ保持したままデータを暗号化

  • 平文のフォーマットやデータサイズを保持したままデータを暗号化

  • キーの運用コストを最小限に抑え重要なデータ(クレジットカード番号、電話番号など)を高度に暗号化

  • NISTによって承認されたAES FF3-1暗号化アルゴリズムを利用

  • データをマスキングするOne-way Transformationにも対応

###-##-####

あなたの情報

* 氏名: 鏑木崇之

* 電話番号: 0120-55-2221

* SSN: ###-##-####

Format Preserving Encryption

Masking

10 of 14

Advanced Data Protection:

KMIP(Key Management Interoperability Protocol)

オンプレミスのストレージシステムなどVault HTTP APIを実行できないクライアントへの対応

KMIP

  • サーバ-クライアント間で暗号化やキー管理の機能を提供するオープンプロトコル
  • Transparent Database Encryption(TDE)
  • Full Disk Encryption(FDE)

従来のKMIPの利用

  • それぞれのサービスがKMIP固有の実装をしそれぞれのKMIPサーバへリクエスト

vaultによるKMIPの利用

  • Vault KMIPリスナーを介した透過的なリクエストで完結
  • vault write kmip/config \ listen_addrs=0.0.0.0:5696

11 of 14

4時間以内に生成されたトークンのみ許可する

12 of 14

LDAPログイン時にMFAを必ず要求し、10.20.0.0/16 からのクライアントのみアクセスを許可する

13 of 14

指定したデータに対して変更を加える際に、

指定したMFAで

認証されたsysopsの

クライアントであることを確認する

14 of 14

sales_japan@hashicorp.com