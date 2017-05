Eigentlich ist man sich einig, dass durch immer größere und komplexere Netze und Systemlandschaften das Thema Sicherheit nicht einfach durch die eine große Perimeterfirewall erledigt ist. Trotzdem fehlt es häufig an Infrastruktur, die dabei unterstützt, mit Zugangsdaten automatisiert und sicher umzugehen. Vault hilft als „a tool for managing secrets“, dieses Problem anzugehen.

Der sichere Umgang mit Zugangsdaten ist kompliziert und mit Aufwand verbunden. Idealerweise verwendet man niemals das gleiche Passwort zweimal, benutzt mehr als die gängigen acht Zeichen und beschränkt sich nicht nur auf Kleinbuchstaben. Ein gutes Passwort ist lang und unbequem. Post-its auf dem Monitor sollten eigentlich der Vergangenheit angehören. Zum einen passen die Zugangsdaten nicht mehr auf den Notizzettel, zum anderen wird niemand diese mehrere Minuten abtippen wollen, um dann festzustellen, dass er die Zahl „1“ und den Buchstaben „l“ vertauscht hat. Der nächste Schritt ist das regelmäßige Ändern aller benutzten Passwörter. Spätestens jetzt wird es Zeit, einen Passwortmanager zu nutzen. Der Anwender hat die Wahl aus einem breiten Angebot, egal ob proprietär, Open Source, Browser-Plug-in, Cloud-Lösung oder integriert im eigenen Betriebssystem – Passwortmanager sind inzwischen halbwegs etabliert und nicht zwangsläufig exotische Werkzeuge von Computerprofis.

Anders sieht es leider bei Anwendungen und den dazu gehörigen technischen Usern oder Functional Accounts aus. Eine Anwendung oder ein Service kommt selten ohne Zugangsdaten aus. Datenbanken, andere Services, das firmeninterne LDAP: Es gibt eigentlich immer mindestens einen Account, der benutzt wird und dessen Passwort entweder in Konfigurationsdateien oder Umgebungsvariablen beim Service hinterlegt ist. In der Theorie sind diese Daten immer verschlüsselt, werden häufig geändert, und es ist nachvollziehbar, wer darauf Zugriff hatte. In der Praxis findet man im besten Fall gut gemachte Eigenlösungen, die zwar irgendwie die Zugangsdaten schützen, aber oft nicht komfortabel zu benutzen sind und ein Audit nicht einfach machen. Die aktuellen Architekturtrends hin zu verteilten Systemen aus vielen kleinen wiederverwendbaren Services verschärfen dieses Problem noch. In Systemlandschaften mit mehreren Microservices möchte man in der Regel auch deren Zugänge automatisiert verwalten.

Vault bietet eine Art Schlüsselkasten für Zugangsdaten. Diese werden sicher in einem konfigurierbaren Storage-Backend abgelegt. Zugriffe auf diese Daten werden protokolliert. Je nach der Art des Zugangs können außerdem die Passwörter nach festen Zyklen geändert werden, z. B. jedes Mal nachdem eine Session beendet wurde. Ist ein System kompromittiert, lassen sich gezielt die von der Applikation angeforderten Passwörter tauschen.

Vor dem Start: Kommunikation und Storage

Die Kommunikation mit Vault findet über ein HTTP-API statt. Im Moment verspricht HashiCorp noch nicht, zur aktuellen Schnittstelle rückwärtskompatibel zu bleiben, wird aber ab einer stabilen Version in der Dokumentation darauf hinweisen. Um die Administration zu vereinfachen, bietet Vault auch ein CLI. Intern nutzt der Client allerdings auch die HTTP-Schnittstelle. Ein Nebeneffekt: Bestimmte Sondermethoden, die sich nur im CLI-Tool finden, wird es dadurch nicht geben. Zusätzlich pflegt HashiCorp noch Libraries für Go und Ruby. Für Java gibt es bisher zwei Implementierungen der Community (vault-java und vault-java-driver). Beide haben keine zusätzlichen Abhängigkeiten, wie eine HTTP-Library. Vault selbst besteht lediglich aus einem knapp 32 MB großen Executable. Wird der Befehl server und eine Konfiguration angegeben, startet ein Vault-Server. Ohne den server-Befehl dient das Binary als CLI zum API. Mit welchem Server kommuniziert werden soll, kann entweder durch zusätzliche Parameter angegeben werden oder einfach in der Umgebungsvariable VAULT_ADDR abgelegt sein.

Welches Storage-Backend gewählt werden kann, hängt davon ab, ob Hochverfügbarkeit eine Anforderung ist oder nicht. Hochverfügbarkeit bieten z. B. Consul, etcd, Zookeeper oder DynamoDB. Darüber hinaus sind noch MySQL, PostgreSQL und die Ablage im Dateisystem möglich. Das Speichern der Daten nur im Arbeitsspeicher eignet sich eher für kleine Tests während der Entwicklung, weniger für den Produktiveinsatz. Einige der Backends werden von der Community gepflegt. Offiziell von HashiCorp unterstützt wird natürlich Consul, In-Memory-Storage und die Ablage im Dateisystem.

Initialisierung und erster Start

Nach dem ersten Start muss ein neuer Vault zuerst initialisiert werden. Dabei wird ein interner Key erzeugt, mit dem alle Daten im Backend verschlüsselt werden. Dieser Key ist nicht für User oder Administratoren zugänglich. Der interne Vault Key wird dann nochmals verschlüsselt abgelegt, und es wird eine konfigurierbare Anzahl an Master Keys zur Administration angezeigt. Um Vault nach dem Serverstart nutzen zu können, muss zuerst ein so genannter Unsealing-Prozess gestartet werden. Beim Unsealing muss einer oder mehrere der Master Keys eingegeben werden. Wie viele Keys benötigt werden, wird bei der Initialisierung festgelegt. Ein Beispiel, bei dem vier Keys erzeugt werden, wovon zwei zum Unsealing vorhanden sein müssen, findet sich in Listing 1.

test@fnord:~/vault/data$ vault init --check Vault is not initialized test@fnord:~/vault/data$ vault init -key-shares=4 -key-threshold=2 Key 1: b707753c5b9e522830af48fbb93f12b136f0b3f9882bc26a7e0fb976e6cee20001 Key 2: 73a6e28f9919f26240c17315fd087274725544293cdc238dae13ab2061db7acd02 Key 3: c63066172e6492ad9912934fc1ec52374e36e09050787cd017eea5121c21fb7f03 Key 4: e0ffd7f2060ca9f6a01d05d27566b2e5fa04b1924f29fa58152b8f8c74f1514c04 Initial Root Token: 8e8719de-ceaf-52d1-3475-cdebbc7599d1 Vault initialized with 4 keys and a key threshold of 2. Please securely distribute the above keys. When the Vault is re-sealed, restarted, or stopped, you must provide at least 2 of these keys to unseal it again. Vault does not store the master key. Without at least 2 keys, your Vault will remain permanently sealed. test@fnord:~/vault/data$ vault unseal b707753c5b9e522830af48fbb93f12b136f0b3f9882bc26a7e0fb976e6cee20001 Sealed: true Key Shares: 4 Key Threshold: 2 Unseal Progress: 1 test@fnord:~/vault/data$ vault unseal 73a6e28f9919f26240c17315fd087274725544293cdc238dae13ab2061db7acd02 Sealed: false Key Shares: 4 Key Threshold: 2 Unseal Progress: 0

Für weitere Interaktionen wird ein Token zur Authentifizierung benötigt. Mit diesem können dann weitere Tokens erzeugt und der Vault auch wieder geschlossen werden; je nach Access Control List (ACL) (Listing 2).

test@fnord:~/vault/data$ vault auth Token (will be hidden): Successfully authenticated! token: 8e8719de-ceaf-52d1-3475-cdebbc7599d1 token_duration: 0 token_policies: [root] test@fnord:~/vault/data$ vault seal Vault is now sealed. test@fnord:~/vault/data$ vault status Sealed: true Key Shares: 4 Key Threshold: 2 Unseal Progress: 0

Authentifizierung und ACLs einrichten

Vault unterstützt unterschiedliche so genannte Backends, um Zugangsdaten zu überprüfen. Standardmäßig ist das Token Backend unter /auth/token zu erreichen. Dort können Tokens erstellt und bevor sie ablaufen auch verlängert werden. Soll ein Token zur Authentifizierung genutzt werden, reicht beim CLI der Aufruf von vault auth <token>. Bei der direkten Nutzung des HTTP-API wird einfach der Header X-Vault-Token verwendet. Produktive Installationen sollten natürlich auch deshalb nicht ohne TLS betrieben werden. Andere Backends unterstützen Anmeldungen auf Basis von Benutzername und Passwort, TLS-Clientzertifikaten, bestimmte Zwei-Faktor-Protokolle oder LDAP und GitHub als Authentifizierungsprovider.

Technische Accounts lassen sich außerdem über den App-ID-Mechanismus abbilden. Hier werden zur Anmeldung am Vault zwei Informationen benötigt: Eine eindeutige App-ID und eine eindeutige User-ID. Die App-ID kann z. B. direkt mit der Anwendung provisioniert werden. Die User-ID kann dann beim Start der Anwendung maschinenabhängig errechnet werden. Denkbar ist ein Hash der MAC-Adresse oder einer anderen physikalischen ID der Hardware mit einem Salt. Damit muss das Configuration-Management nicht zwangsläufig Zugriff auf die Zugänge erhalten. Vault legt die gespeicherten Zugangsdaten in einem Baum als Datenstruktur ab. Zu jedem Zweig gibt es die üblichen Rechte wie read, update, create, delete oder list. Zur Vereinfachung gibt es noch Kurzformen, beispielsweise die Kurzform write. Diese umfasst die Rechte create, read, update, delete und list. Das Format für Policies ist JSON oder HashiCorps JSON-kompatible Konfigurationssprache HCL, wie in diesem Beispiel:

path „secret/prod/db1“ {

policy = „login“

capabilities = [„read“, „list“]

}

Die Policy lässt sich mit vault policy-write myPolicy file.hal oder cat file.hal |vault policy-write myPolicy – speichern. Wird ein User mit einem Passwort oder einem neuen Token angelegt, können dabei die erstellten Policies referenziert werden. Damit sind die Rechte an die Art der Authentifizierung gebunden. Möglich werden dadurch Sicherheitskonzepte, die erweiterte Rechte nur nach einer Authentifizierung mit Benutzername und nicht nur durch ein Token zulassen.

Zugangsdaten ablegen und auslesen

Zugangsdaten werden in unterschiedlichen Secret Backends abgelegt. Diese Backends stellen je nach Typ bestimmte Features zur Verfügung. Generic ist das Standard-Backend, das immer unter /secret zu finden ist. Dort lassen sich beliebige Key-Value-Paare speichern. Dabei ist zu beachten, dass die Keys unverschlüsselt gespeichert sind. Beim Ablegen des Passworts kann außerdem eine Time to Live (TTL) angegeben werden. Diese wird beim Auslesen in Sekunden als lease_duration zurückgegeben. Der Wert ist allerdings rein zur Information an den Client gedacht. Sie gibt den gewünschten Zeitraum an, in dem das Passwort erneut ausgelesen werden sollte. Vault selbst wird nach Ablauf der TTL nicht die Accountdaten entfernen. Das Speichern von Testdaten via HTTP und Abrufen derselben mit dem CLI sieht man in Listing 3.

test@fnord:~$ curl http://localhost:8200/v1/secret/intranet/app1 -d \ '{"username":"myUser", \ "password":"myPass", \ "ttl":"24h"}' \ -H "X-Vault-Token:0846c230-8542-3a1c-1ebc-460ecc28eeab" -v * Connected to localhost (127.0.0.1) port 8200 (#0) > POST /v1/secret/intranet/app2 HTTP/1.1 > [..] > X-Vault-Token:0846c230-8542-3a1c-1ebc-460ecc28eeab > * upload completely sent off: 55 out of 55 bytes < HTTP/1.1 204 No Content < [..] test@fnord:~$ vault read secret/intranet/app1 Key Value lease_duration 86400 password myPass ttl 24h username myUser

Neben dem Generic Backend gibt es noch eine ganze Reihe von weiteren Möglichkeiten, Zugänge abzulegen oder on the fly zu erzeugen. Ein Beispiel ist hier das SSH Backend: Auf dem Zielsystem wird als zusätzliches Authentifizierungsmodul (Pluggable Authentication Module, PAM) der vault-ssh-helper installiert. Dieser Helper kann dann entweder nur einmal nutzbare Passwörter validieren (One-Time-Pad, OTP, Einmalverschlüsselung) oder ein neues generiertes Schlüsselpaar nutzen. Die Kommunikation mit den Vault-Servern findet verschlüsselt über TLS statt.

Benötigt man nun Zugriff auf eine Maschine im Netz, erhält man über Vault den passenden Zugang. Zugriffe werden auch hier wieder entsprechend protokolliert. Neben SSH gibt es momentan noch Backends für AWS, Cassandra und verschiedene SQL-Datenbanken. Der Client erhält beim Anfordern des Zugangs eine Lease-Time und eine Lease-ID. Braucht er den Zugang über die Lease-Time hinaus, kann er mit renew verlängert werden. Bei einem Einbruch im System können Leases mit revoke deaktiviert werden. Lease-IDs sind hier auch wieder als Pfad aufgebaut, z. B. als ssh/creds/intranet_backend/12345. Beim Revoken kann ein Präfix mit angegeben werden. Damit ist es einfach, mit einem Befehl alle Leases zu widerrufen, z. B. der Gruppe intranet_backend.

Benutzt man aus irgendeinem Grund symmetrische Verschlüsslungsverfahren wie AES, gibt es zum Ver- und Entschlüsseln der Daten nur einen einzigen Schlüssel. Möchte man diesen Schlüssel nicht in der Anwendung hinterlegen, kann man das Transit-Backend nutzen. Dieses Backend bietet einen API-Endpoint, der Daten entgegennimmt und diese mit dem hinterlegten Key verschlüsselt. Der Key selbst verlässt dabei zu keinem Zeitpunkt den Vault.

Alle Interaktionen protokollieren

Jeder Request und Response des API lässt sich in einem oder mehreren Audit Backends loggen. Unterstützt wird das Schreiben in eine Datei oder Syslog. Sensitive Informationen werden dabei mit HMAC-SHA256 und einem Salt gehasht. Passwörter werden damit nicht direkt geloggt. Ist die Information bekannt, kann sie aber trotzdem über den Hash im Log verfolgt werden. Logging geschieht immer, bevor eine Antwort an die Clients geschickt wird. Blockieren die Logging Backends, erhält der Client keine Antwort. Damit ist sichergestellt, dass wirklich alle Interaktionen protokolliert werden.

Fazit

Vault erfüllt die gängigen Anforderungen an den Umgang mit Passwörtern, Tokens, Zertifikaten und Zugriffen. Vergleicht man Vault mit gängigen Priviliged-Account-Managment-Systemen, bieten diese oft eher stiefmütterlich behandelte zusätzliche Features, wie das Rotieren von Datenbankpasswörtern; den richtigen JDBC-Treiber vorausgesetzt. Der Schwerpunkt liegt dabei eher auf dem Verwalten manuell benutzter Accounts. Wenn es darum geht, in Applikationen hinterlegte Zugänge endlich in den Griff zu bekommen, ist Vault sicher einen näheren Blick wert. HashiCorp stellt auf der Projektseite Use Cases vor [1] und bietet neben der üblichen Getting-Started-Dokumentation [2] ein interaktives Tutorial [3] an. Natürlich gibt es bei HashiCorp auch entsprechenden Enterprise-Support. Dazu gehört die übliche Hilfe über Telefon oder E-Mail. Als zusätzliches Feature erhält man die Möglichkeit, Vault mit seinem Hardware-Security-Modul (HSM) zu integrieren. Davon abgesehen gibt es aber keine weiteren Unterschiede zur Open-Source-Version.