HashiCorp于2025年7月31日宣布,HCP Terraform 支持持有自有密钥(Hold Your Own Key,HYOK)功能的全面可用。这项功能使客户能够完全控制用于保护敏感 Terraform 构件(如状态和计划文件)的加密密钥。
Terraform 构件,如状态和计划文件,通常包含敏感信息、资源 ID、IP 地址,甚至可能包含凭据。尽管这些信息在 HCP Terraform 中默认是加密的,但仍可被平台的托管密钥系统访问。有了 HYOK,加密现在可以使用存储在客户控制的 Vault、AWS KMS、Azure Key Vault 或 Google Cloud KMS 中的密钥,在构件离开客户网络之前发生。这确保了明文机密永远不会通过 HashiCorp 基础设施传输,帮助组织满足严格的合规性和数据主权要求。
HYOK 工作流涉及客户网络内的一个轻量级代理。当在组织级别启用时,每个 Terraform 操作都会通过 OIDC 请求一个短期的加密令牌,用它交换 KMS 凭据,并通过 Vault 的传输引擎使用客户的密钥对构件进行加密。生成两个构件:一个完全加密的状态或计划文件,以及一个带有秘密信息删除的净化版本,允许 HCP Terraform 在不访问敏感数据的情况下继续进行策略检查和成本估算。
德意志银行的分支主管 Florin Lungu 在LinkedIn上评论说,HYOK“允许客户在 Terraform 构件中对机密的访问进行更大的控制”,并显著增强了安全性和合规性。与此同时,HashiCorp 的官方社交公告称HYOK 为“状态和计划文件的另一层安全”,并强调在不暴露明文机密的情况下提供了完全可见性。
除了 HashiCorp 之外,还有几家公司也提供类似的客户管理加密密钥(CMEK)或持有自有密钥(HYOK)模型的方法。然而,实施细节因平台架构和合规性目标而异:
Azure Storage、Azure Kubernetes Service(AKS)和 Azure Key Vault 支持 CMEK,客户可以将加密密钥存储在 Azure Key Vault HSM 中,甚至可以通过 HYOK 集成外部存储。与 HashiCorp 的 Terraform HYOK 不同,Azure的模型通常使用 Azure Active Directory 条件访问来控制密钥访问,并包括与硬件安全模块(HSM)的集成,以满足 FIPS 合规性。Azure 的 HYOK 最常用于需要完全控制密钥生命周期管理的政府或金融机构。
亚马逊云科技提供了KMS External Key Store(XKS),允许组织在AWS基础设施之外保留加密密钥,同时仍然可以使用 KMS API。这种设计与 HashiCorp 的 HYOK 相似,通过在本地启用加密操作,而 AWS 服务则在加密数据上运行。许多金融和医疗保健客户利用这一点来满足数据常驻和主权要求。
谷歌云的 External Key Manager(EKM)通过在谷歌基础设施之外完全执行加密操作,启用完整的 HYOK 功能。这确保了即使是谷歌也无法解密客户数据。EKM 支持云 HSM 或本地 HSM,适用于具有严格监管环境的组织,特别是在欧洲 GDPR 和 Schrems II 要求下。
Salesforce Shield提供了 HYOK 功能,客户可以在 Salesforce 或通过第三方 HSM 管理加密密钥。与 HashiCorp 的方法类似,这允许客户对敏感 CRM 数据进行加密存储同时,保留对密钥轮换和撤销的独占控制。
HashiCorp 的 HCP Terraform HYOK 的不同之处在于,它专注于 Terraform 状态和计划文件,在构件离开客户网络之前进行加密,并无缝支持多云 KMS 系统(Vault、AWS、Azure、GCP)。大多数其他供应商为平台数据(例如存储对象、数据库)而不是为 IaC 构件提供 HYOK,这使得 HashiCorp 的功能在基础设施即代码领域是独一无二的。
HYOK 目前可供高级 HCP Terraform 客户使用。它为架构师和安全团队提供了对其数据的控制。通过结合客户管理的密钥系统、本地代理加密和跨主要 KMS 提供商的平台无关性支持,HYOK 旨在为 HashiCorp 的基础设施即代码安全实践增加灵活性、可观测性和企业级的合规性。
原文链接:
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论