HashiCorp 发布了 Vault 2.0,这是该密钥管理平台自 2018 年推出 1.0 版本以来,首次进行主版本号升级。在工程团队努力应对多云和容器化环境中通信安全带来的运维复杂性之际,这一版本正式发布。
版本跃迁至 2.0 不仅仅是功能更新,更标志着在被 IBM 收购之后,正式引入 IBM 的版本管理与支持模式。这也解释了版本号从 1.21 直接跳跃至 2.0 的原因。随着版本体系的变化,平台现已遵循 IBM Support Cycle-2 政策,为主版本提供至少两年的标准支持。此次发布也处于一个重要背景之中:HashiCorp 在 2023 年将许可证从 Mozilla Public License 转为 Business Source License,这一变动促使社区发起了 OpenBao 分支项目。对于已经迁移至 OpenBao 或正在评估迁移的团队而言,Vault 在 IBM 体系下的发展方向将成为关注重点。
本次版本的核心在于对基于身份的安全模型进行优化,重点关注在分布式环境中如何验证工作负载与服务身份。
一个关键的技术新增是为密钥同步引入了工作负载身份联邦(Workload Identity Federation)。该功能使 Vault 能够在无需长期静态凭证的情况下,与 AWS、Azure 和 GCP 等主流云服务提供商进行身份认证。通过利用 OIDC 令牌,工程团队可以在同步过程中降低凭证泄露风险。此次发布还对内部存储引擎进行了改进,以提升高吞吐场景下的性能,这对于企业级实时加密与认证任务尤为重要。
底层架构也进行了调整,移除了若干遗留组件,从而引入了一些破坏性变更,用户在升级过程中需要特别注意。例如,Azure 身份认证现在必须显式配置相关参数,而不再默认从环境变量中回退获取,这一变化最早在 1.20 版本的插件更新中引入,如今已成为默认行为。此外,该版本还引入了对 SCIM 2.0 身份预置的 Beta 支持,使得可以从外部身份平台自动管理 Vault 实体与用户组。移除旧组件的目的在于简化代码库的长期维护,并支持在新所有权体系下更高频率的版本迭代。
在更广泛的密钥管理市场中,Vault 2.0 面临来自云原生服务的竞争,例如 AWS Secrets Manager 和 Azure Key Vault,这些服务在各自平台内具备高度集成能力,但在跨云场景中的可移植性有限。同时,Akeyless 和 Doppler 等托管方案则面向希望避免自建 Vault 运维成本的团队。此次更新还引入了对 SPIFFE JWT-SVID 的支持,使工作负载能够安全地加入基于 SPIFFE 的身份网格,从而将 Vault 定位为连接专有身份体系与开放标准之间的桥梁。
该版本还对公钥基础设施(PKI)密钥引擎进行了更新,以支持证书生命周期的自动化管理。通过提供证书签发与续期工具,系统能够降低手动管理凭证所带来的风险,这与当前企业基础设施中日益普及的零信任网络理念相一致。随版本发布提供的文档更新,还为仍在运行 1.x 版本的用户提供了迁移策略指导,以确保平台在进入下一发展阶段时能够平稳过渡。
