我们很荣幸地宣布发布HashiCorp vault0.8。Vault是一种基础设施自动化安全产品，提供机密管理、加密即服务和特权访问管理。Vault的0.8版本主要致力于为Vault带来新的主要功能。亮点包括：安全插件灾难恢复（保险存储企业版）装载复制筛选器（Vault Enterprise）实体和多因素身份验证（Vault Enterprise）该版本还包括附加的新功能、安全工作流增强、常规改进和错误修复。Vault 0.8更改日志提供了功能、增强功能和错误修复的完整列表。和往常一样，我们向社区致谢，感谢他们的想法、错误报告和拉取请求。»安全插件Vault 0.8引入了在Vault Enterprise和Vault开放源代码中安全地编写和使用插件的功能，以支持身份验证和机密后端的自定义集成。它们既可以由用户自己开发，也可以与其他开发人员共享和集成。在Vault（以及其他HashiCorp项目，如Terraform）中，自定义插件由一个启动外部进程的Go应用程序组成。然后，该插件通过一个使用一次性TLS证书加密的相互验证的通道，通过GRPC接口和通信回Vault。此外，存储在保险库中的插件数据位于加密屏障后面，确保数据在整个保险库中不断加密。使用插件很简单，不需要更改源代码。希望在安装中添加插件的用户将其插件注册到插件目录中。注册插件后，用户使用以下命令安装插件：$vault mount-path=my secrets-plugin name=passthrough plugin plugin其中-plugin name是插件目录中定义的插件名称。有关创建和使用插件的更多详细信息，请参见：HashiCorp Vault plugins文档»灾难恢复注意：这是Vault Enterprise Pro功能灾难恢复（DR）是Vault Enterprise Pro 0.8中引入的一种新的复制形式。灾难恢复旨在解决整个主群集灾难性故障时的业务连续性需求，它允许以不需要辅助群集重新生成和分发以前由前主群集分发的令牌的方式升级镜像的辅助群集。这一点至关重要，因为在Vault 0.7中首次推出的注重性能的复制Vault版本没有集成此功能，因此需要重新调用与Vault集成的所有现有用户和应用程序。从规模上讲，这是一项繁重甚至不可能完成的任务。在0.8中引入灾难恢复为Vault用户如何构建多群集和多数据中心环境提供了新的选项。与性能辅助群集一样，在灾难恢复复制中，与主群集链接的辅助群集镜像主群集的安全基础结构和配置基础结构。与性能对等群集不同，灾难恢复辅助群集不像其性能辅助群集那样转发读/写指令。它们只需等待并镜像来自主节点的数据，直到由于主节点出现故障而被选为主节点。但是，可以创建复杂的主系统和辅助系统体系结构，通过结合使用性能复制和灾难恢复，既可以满足扩展读写性能的需要，也可以满足灾难恢复的需要。例如，在上述体系结构中，集群A正在将数据复制到集群B和C—这两个集群都位于地理位置分散的独立数据中心或可用区域中。为了满足世界其他地区的用户和应用程序扩展性能的需要，Vault用户选择将群集B位于物理上更靠近使用Vault的远程大型应用程序中心的区域。用户通过性能复制来实现这一点，访问保险库中机密的应用程序通过B将读写请求转发到主群集A。为了满足防止A发生灾难性故障的需要，用户还建立了群集C，并通过灾难恢复将其链接到A。这允许选择C来恢复A的操作，并向B提供读/写请求，而不需要应用程序生成和验证访问机密的新令牌。可以将群集链接在一起，以满足单个基础结构中的各种性能和灾难恢复/法规遵从性需求。但是，由于某些辅助群集可以或不能转发哪些数据的性质，在尝试将其用作灾难恢复或性能关系的主要数据之前，请务必注意群集的现有复制关系：保险存储企业可以是DR Primary可以是性能主要的无复制是的是的主要性能是的不适用性能次要是的是的，通过促销主要灾难恢复不适用是的灾难恢复辅助是的，通过促销不此外，请务必注意，性能复制是Vault Enterprise Premium功能，因此，只有使用Vault Enterprise Premium的群集才能作为性能复制的主要功能。»安装过滤器注意：这是Vault Enterprise Premium功能装载筛选器是一种新的方法，用于控制在复制过程中跨群集和物理区域移动哪些机密。使用装载筛选器，用户可以选择哪些装载将作为性能复制关系的一部分进行复制。在Vault Enterprise 0.8之前，所有非本地装载和关联数据都将作为复制的一部分进行复制。过滤器允许用户列出复制的秘密挂载的白名单和/或黑名单，从而允许用户进一步控制秘密在其基础设施中的移动。这对于满足敏感数据的各种政府和法规遵从性要求至关重要。例如，欧盟的数据保护指令（DPD或指令95/46/EC）要求，除非该地区或国家具有与欧盟同等严格的数据保护法规，否则个人识别数据不得实际传输到欧盟以外的地点。使用装载过滤器，用户可以遵守数据移动和主权法规，同时确保跨地理分布区域的性能访问。例如，管理数据的公司可以将该数据的子集受制于Direct 95/46/EC，该公司可以在单个秘密挂载上包含所有DPD数据，并且在挂载过滤器中该数据的黑名单移动。»身份、实体和多因素身份验证（MFA）注意：这是Vault Enterprise Premium功能vault0.8引入了一个全新的多因素认证（Multi-Factor Authentication，MFA）系统，以及在Vault中新的身份管理结构的基础，我们将在以后的版本中对其进行迭代。在Vault 0.8之前，Vault支持通过特定支持身份验证后端的附加功能与Duo MFA交互。这个系统的设计对可以支持的MFA类型设置了很多限制，并且需要每个后端作者对其进行专门的支持。使用vault0.8，用户现在可以通过ACL策略显式地管理MFA对机密的访问。它能够通过利用保险库中的一组新的核心技术（称为身份识别）来做到这一点。身份允许跨令牌跟踪保险库客户端，并将元数据归属到客户端，以供Vault中的其他子系统和后端使用。它是在0.8中作为MFA支持的一个使能器，并且将成为未来许多新功能的主干。例如，想要在ACL策略中要求Duo的用户首先会实例化一个表示对Duo的访问的实体：PUT/sys/config/mfa/method/eng\u-duo请求：{"type"："duo"，"数据：{"skey"："799yBzHKBLk1gOK3mg416GMSPHWnI3Ad/SuwBwfM"，"ikey"："vkiajjq3oixwwgheozza"，"主机"："api-InhP8wk.duosecurity.com网站"}}然后，可以在ACL策略中的新字段中引用这个实体：mfa\u方法路径""{能力=[…]允许的参数={…}拒绝的参数={…}mfa_methods=eng_duo，"dev_totp"]}实体构造是Vault的一个新的体系结构部分，也是将多种类型的系统凭据统一到Vault中的单个逻辑标识的更大努力的一部分。就像我们在0.7中介绍了性能复制及其基础，并在0.8中使用DR和mount filters对这些基础进行了迭代，我们将在Vault的未来版本中迭代和公开新功能，以提供管理身份和访问机密的新方法。»其他特性Vault 0.8中有许多新功能是在0.7.x.里程碑版本的过程中开发的，这些功能超出了我们上面描述的功能。我们总结了下面几个较大的特性，并一如既往地参考变更日志以获得完整的细节。ed25519签名/在传输中验证密钥派生-Vault传输后端现在支持生成用于签名和验证功能的ed25519密钥。这些密钥支持派生，允许您通过提供上下文值来修改实际使用的加密密钥。传输中加密的密钥版本规范-Vault用户现在可以指定用于生成签名、密文或HMAC的密钥的版本。这可以由min_encryption_version key configuration属性控制。带有安全插件的数据库后端-单个数据库后端现在将以前的MSSQL、MySQL和PostgreSQL后端包含到一个更具伸缩性和灵活性的系统中。此外，可以编写插件，根据用于创建自定义身份验证和秘密后端的安全插件接口，将此功能扩展到其他数据库。AWS IAM认证-S