Einführung zu HashiCorp Boundary und HashiCorp Vault mit AWS

Die Sicherstellung von Zugriffskontrollen und Secrets-Verwaltung ist in modernen IT-Infrastrukturen von entscheidender Bedeutung. HashiCorp bietet mit Boundary und Vault zwei mächtige Tools, die sich nahtlos in die HashiCorp Cloud Platform (HCP) und AWS integrieren lassen. Diese Kombination ermöglicht es Unternehmen, skalierbare und sichere Lösungen zu implementieren. In diesem Artikel erfahren Sie, wie Sie HashiCorp Boundary und Vault mithilfe der HCP und AWS einrichten und verwenden können.

Was ist die HashiCorp Cloud Platform?

Die HashiCorp Cloud Platform (HCP) bietet verwaltete Dienste für verschiedene HashiCorp-Produkte, darunter Vault und Boundary. Durch die Nutzung von HCP können Unternehmen die Komplexität des Betriebs dieser Tools reduzieren, während sie gleichzeitig die Skalierbarkeit und Sicherheit der Cloud nutzen.

Was ist HashiCorp Boundary?

HashiCorp Boundary ist ein Tool für das Zugriffsmanagement, welches einen sicheren Zugriff auf Systeme und Anwendungen ermöglicht. Es vereinfacht den Zugriff und erhöht die Sicherheit durch fein abgestimmte Zugriffskontrollen, ohne dass Benutzer die zugrunde liegenden Netzwerke direkt kennen müssen.

Was ist HashiCorp Vault?

HashiCorp Vault ist ein umfassendes Werkzeug zur Verwaltung von Secrets und zum Schutz sensibler Daten. Es bietet eine zentrale Lösung für die Verwaltung von Zugangsdaten, API-Schlüsseln, Zertifikaten und anderen sensitiven Informationen.

Integration mit AWS

AWS bietet eine flexible und skalierbare Cloud-Infrastruktur, die sich ideal für die Integration von HashiCorp Boundary und Vault eignet. Die Kombination mit der HashiCorp Cloud Platform vereinfacht die Verwaltung und den Betrieb dieser Tools erheblich.

Schritte zur Einrichtung und Verwendung

• Einrichtung der HashiCorp Cloud Platform

  Melden Sie sich bei der HashiCorp Cloud Platform an und erstellen Sie ein Konto, falls Sie noch keines haben. Anschließend erstellen Sie ein neues Projekt und wählen Sie die gewünschten Dienste (Vault und Boundary) aus.

• Einrichtung Netzwerk Verbindung AWS:

  Damit die HCP auf AWS-Ressourcen zugreifen kann, müssen Sie eine Netzwerkverbindung zwischen HCP und AWS einrichten. Hierzu gibt es eine gute Dokumentation von HashiCorp, was auch per Terraform realisiert werden kann.

• Einrichtung von HCP Vault

  Erstellen Sie ein neues Vault-Cluster in der HCP. Wählen Sie die Region und andere Konfigurationsdetails aus. HCP kümmert sich um die Verwaltung und Skalierung von Vault. Sie erhalten die Endpunkte und Zugangsdaten, die Sie für den Zugriff auf Vault benötigen.

  Die Erstellung kann natürlich auch per Terraform erfolgen:

  Jegliche weitere Konfiguration des Clusters kann wie gewohnt über die Vault CLI, Vault API oder eben Terraform erfolgen.

• Einrichtung von HCP Boundary

  Erstellen Sie ein neues Boundary-Cluster in der HCP. Wählen Sie die Region und andere Konfigurationsdetails aus - manuell oder per Terraform HCP kümmert sich um die Verwaltung und Skalierung von Boundary. Sie erhalten die Endpunkte und Zugangsdaten, die Sie für den Zugriff auf Boundary benötigen.

  Die weitere Konfiguration des Clusters kann wie gewohnt über die Boundary CLI, Boundary API oder eben Terraform erfolgen.

• Integration von HCP Vault und Boundary mit AWS

  Damit man nun HCP Vault mit Boundary und AWS verwenden kann, müssen die entsprechenden Zugriffskonfigurationen erstellt werden. Hierzu kann man für AWS entsprechende Accounts anlegen, damit Boundary Zugriff auf die AWS EC2 Resourcen erhält. Damit man diesen Benutzer erstellen kann, kann man die AWS Vault Secrets Engine verwenden. Diese stellt einem AWS Zugangsdaten zur Verfügung für diese Integration.

  Dannach kann in Boundary ein Host Catalog erstellt werden, um die AWS EC2 Resourcen zu erkennen. In Terraform kann dies so aussehen.

  Durch diese Konfiugration kann Boundary nun unsere AWS Ressourcen erkennen und es ist möglich per Boundary darauf zuzugreifen.

  Zu guter Letzt kann man noch einen Credential Store anlegen. Je nachdem wie man seine AMI Templates konfiguriert hat, kann man hier auch den Vault Credential Store nutzen um per SSH One-Time-Passwords auf die AWS Instanzen zuzugreifen. Damit benötigt man dann auch keine weiteren SSH Keys mehr für den Zugriff auf die Instanzen.

• Nutzung von HCP Boundary mit AWS

  Nachdem die Konfiguration abgeschlossen ist, können Sie Boundary verwenden, um auf Ihre AWS-Instanzen zuzugreifen. Hierzu können Sie die Boundary CLI verwenden, um eine Verbindung zu einem Host herzustellen.

  1boundary targets create ssh -name "aws-sample-target" -address "<aws-instance-ip>"
  2boundary connect ssh -target-id=tssh_1234567890 -username=ubuntu
  

  Ohne weitere Rollen oder Policies kann man hier nun auf die AWS Instanz zugreifen. Dies kann man natürlich auch noch weiter einschränken in dem man mit Rollen und Policies arbeitet. Zusammen mit boundary_host_set_plugin und dessen Möglichkeit die Liste der Hosts des Catalogs dynamisch zu filtern, kann man damit einzelnen Benutzern nur bestimmte Hosts zur Verfügung stellen.

Fazit

Durch die Kombination von HashiCorp Boundary und Vault mit der HashiCorp Cloud Platform und AWS können Unternehmen eine sichere und effiziente Zugriffs- und Secretsverwaltung implementieren. Die Nutzung von HCP erleichtert die Verwaltung und Skalierung dieser Tools erheblich, sodass Sie sich auf die Sicherung Ihrer Infrastruktur und Anwendungen konzentrieren können.