了解 HashiCorp Vault 機密管理工具：運作流程、核心功能、多元使用案例

Vault 是什麼?

HashiCorp Vault 是一個基於「身份機密」和「加密管理」系統，Vault 在給予客戶（用戶、機器、應用程式）機密權限或機敏資料時，會先對他們的身份進行驗證和授權。

機密泛指任何您想嚴格控管的存取權限，例如：API 密鑰、密碼和認證。

Vault 的加密解決方案是透過驗證和授權方案組合而成。透過 Vault 的 UI、CLI 或 HTTP API ，「機密存取權限」和「其他機敏資料」能夠被安全的儲存、管理、嚴格的限制和稽核。

現代的系統往往需要存取大量機密，這些機密包括資料庫憑證、用於外部服務的 API 金鑰以及服務導向架構通訊憑證等等。

由於不同的平台有不同的機密規則，要得知誰存取了哪些機密是很困難的事情。

因此，如果無法客製化不同平台的規則（Policy），動態管理金鑰、資料庫安全和詳細的稽核日誌等功能幾乎是不可能的實現的。而 Vault 正是為了解決這種煩惱而存在！

Vault 如何運作? 

Vault 的解決方案主要與令牌（token）的管理有關，而每個令牌都有自己所屬的規則。

因為每條規則都基於路徑，因此規則能夠限制訪客的行動和對路徑的存取權限。只要利用 Vault，就能夠手動生成令牌，將這些令牌發送給訪客，或讓訪客在成功登入系統時獲得令牌。

下圖為 Vault 工作流程中的關鍵步驟：

Vault 的工作流程由四大關鍵步驟組成：

 

• • 身分識別：Vault 會透過訪客提供的訊息鑑定訪客身份的真偽。一但訪客通過 Vault 的識別鑑定辦法，Vault 便會生成令牌，這張令牌會伴隨著對應的規則

 

• • 身分驗證：Vault 會透過第三方資料源（如：Github、LDAP、AppRole 等等）驗證訪客身份

 

• • 授權：匹配與訪客身份相對應的規範。該規範 (policy) 是由一套規則 (rules) 組成，用於規定訪客能夠根據他手中的令牌存取哪些 API 端點。這套規範能夠提供明確的方案來允許或禁止訪客存取特定路徑的程式或操作的權限。

 

• • 使用與存取：Vault 透過發佈令牌，允許訪客對機密、金鑰和加密功能的權限。這些令牌的規則是基於訪客的身份制定而成的

為什麼 Vault 是您的最佳選擇?

現今，幾乎所有企業都面臨憑證在組織內部不斷蔓延的挑戰。密碼、API 金鑰與各式憑證，往往被明文寫死在應用程式原始碼、設定檔或其他位置。

這種情況導致兩大問題：

1. 存取權限難以掌握 —— 很難清楚了解誰擁有什麼憑證，或誰可以存取哪些機密。
2. 資安風險升高 —— 明文憑證一旦外洩，無論是內部人員誤用，或外部惡意攻擊，風險都大幅增加。

而 Vault 能將所有憑證集中管理，減少憑證散落造成的暴露風險！

更重要的是，Vault 不僅確保用戶、應用程式與系統必須通過身份驗證與授權，才能存取資源，還能提供完整的審計軌跡，保存與追蹤每一次操作紀錄。

Vault 的核心功能

機密儲存安全性

任意鍵/值機密 (Arbitrary key/value) 可以儲存在 Vault 中， Vault 在將這些機密加密後寫入持久性倉庫 (persistent storage)。

因此僅擁有原始儲存庫的存取權限不足以存取這些機密，Vault 可以寫入硬碟、Consul 等。

動態機密

Vault 不僅能集中管理憑證，還可以為特定系統按需生成動態機密，例如 AWS 或 SQL 資料庫。

當應用程式需要存取 S3 時，它會向 Vault 請求憑證。此時，Vault 會即時產生一組具有效期的 AWS 金鑰。

這些動態機密在使用期限結束後，Vault 會自動撤銷，避免長期憑證帶來的安全風險。

數據加密

Vault 還能在不儲存數據的情況下，協助完成加密與解密作業！

安全團隊可以先定義好加密參數，而開發人員只需透過 Vault 執行加密，就能將結果安全地存放在 SQL 資料庫等位置，而不必自行設計或維護額外的加密機制。

租約與續約 (Leasing and Renewal)

Vault 中的所有機密都有相對應租約，當租約結束時，Vault 會自動撤銷該機密，客戶端可以通過內建的 API 更新租約。

撤銷

Vault 內建機密撤銷， Vault 不僅可以撤銷單個機密，還可以撤消機密樹（a tree of secrets），例如特定用戶讀取的所有機密，或特定類型的所有機密。

撤銷有助於密鑰滾動以及在入侵情況下鎖定系統。

Vault 的應用

HashiCorp Vault 是一套以「身份驗證」與「機密管理」為核心的系統。

在交付憑證或提供敏感資料之前，Vault 會先對使用者、機器或應用程式進行驗證與授權。

以下是 Vault 的四大主要應用場景：

 

1. 機密儲存庫 (General Secret Storage)

隨著工作負載變得越加短暫、生命週期也越來越短，長久存在的靜態憑證變成很大安全威脅因素。

如果憑證意外洩露，或者員工留下包含 AWS 存取密鑰的筆記，或者有人將他們的 S3 存取令牌發布到公開 GH 儲存庫，該怎麼辦？

使用 Vault，您可以生成短暫的即時憑證，這些憑證會在效期結束時「自動撤銷」，這也代表用戶和安全團隊不必手動撤銷或更改這些憑證。

靜態機密

傳統的憑證通常是長期且靜態的，很少甚至從未更新過。

Vault 則能將這些憑證安全地儲存在加密屏障中，並允許客戶端在應用程式中依需求呼叫使用，避免憑證散落與外洩的風險。

動態機密

Vault 機密儲存庫的核心價值，在於能夠生成「動態憑證」！

這些憑證會在用戶需要時即時產生，並由 Vault 全程管理其生命週期，例如在指定時間後自動刪除，避免長期憑證帶來的安全風險。

除了資料庫憑證管理，Vault 還能管理使用者目錄、SSH 憑證、PKI 憑證等。

2.資料加密 (Data Encryption)

許多組織在雲端或混合資料中心中尋求加密與解密方案，但若自行部署加密系統或維護金鑰管理基礎架構，往往面臨高成本與維運困難。

Vault 的加密服務能集中管理機密，簡化資料在傳輸及儲存時的加密流程。

其運作方式是：Vault 不保存資料，而是提供加解密功能，讓應用程式能安全地將加密後的資料存放於外部儲存庫。

在這樣的架構下，資安團隊負責管理 Vault 的加密環境，開發者則只需呼叫 Vault 進行加解密，專注於業務邏輯即可。

3.身份權限存取 (Identity-Based Access)

隨著雲端、服務與系統持續增加，企業需要一套能管理身份蔓延並整合多種身分權限提供者的解決方案。

組織嘗試以單一身份跨雲與跨平台存取資源，但往往仍被迫維護多個身份管理系統，增加了安全風險。不同平台又各自採用不同的驗證方式與結構，使得憑證與身份管理更加複雜。

Vault 透過統一的 ACL 系統代理對系統和機密的存取，並可整合多種身份提供者，實現基於身份的存取控制。組織因此能利用任何受信任的身份，來規範和管理跨雲、跨系統與跨端點的資源訪問。

4.密鑰管理 (Key Management)

與雲端供應商合作時，通常需要使用其資安功能，這涉及供應商在自家金鑰管理系統（KMS）中發行和儲存加密金鑰。

無論資料是否在雲端，企業仍可維護自己的信任根源（Root of Trust），並控管金鑰的生命週期。

KMS 提供一致的金鑰分發與管理流程，而 Vault 則可集中管理金鑰，同時兼容雲端供應商的加密功能。

參考更多 Vault 相關資訊：https://www.omniwaresoft.com.tw/hashicorp-vault

想了解更多資訊，歡迎聯絡我們， 加入歐立威 Line 好友、或 追蹤臉書粉專！