HashiCorp Vault 1.19.0版本发布：企业级长期支持与安全增强

HashiCorp Vault作为一款领先的机密信息管理工具，在1.19.0版本中带来了多项重要更新和安全增强。这个版本被标记为企业长期支持(LTS)版本，意味着它将获得更长时间的安全更新和维护支持，特别适合企业生产环境使用。

核心安全增强

本次更新包含了多项安全修复和加固措施。在raft/snapshotagent组件中进行了两次重要升级，修复了潜在的安全问题。PKI引擎现在会强制执行颁发者约束扩展，包括扩展密钥用法、名称约束和颁发者名称等，增强了证书颁发的安全性。

特别值得注意的是，KMIP服务现在要求RSA密钥生成必须使用2048位或更高的密钥长度，这符合当前的安全最佳实践。同时，Transit引擎新增了对Ed25519ph和Ed25519ctx签名类型的支持，为企业用户提供了更多加密选项。

企业级功能增强

1.19.0版本引入了多项企业专属功能：

• 自动根凭证轮换：新增了Rotation Manager功能，允许用户基于可配置的计划自动轮换根凭证。这一功能已扩展到AWS认证、AWS机密、数据库、GCP认证和GCP机密等多个插件中。

• 跨账户AWS机密管理：企业版现在支持跨账户管理AWS机密引擎中的静态角色。

• 身份去重：新增了自动解决重复实体和组的功能，可通过force_identity_deduplication激活标志启用。

• 产品使用报告：新增了匿名、数值型、非敏感的产品使用数据收集功能，补充了现有的利用率报告。

核心架构改进

在核心架构方面，Vault 1.19.0带来了多项重要改进：

• 改进了身份实体加载性能，通过批量更新、缓存本地别名存储读取和并行处理加速了启动过程。

• 新增了激活标志机制，允许用户选择启用新功能。

• 改进了raft/autopilot的协调逻辑，避免了在存在不健康节点时人为增加仲裁数量的问题。

• 新增了sys/health接口的扩展，可以返回节点是否已从HA集群中移除，以及备用节点心跳状态等信息。

插件生态系统更新

Vault的插件生态系统在此版本中获得了全面更新：

• 认证插件方面，JWT插件升级到v0.23.0，Kubernetes插件升级到v0.21.0，LDAP认证现在会在用户DN搜索返回多个条目时返回错误。

• 数据库插件方面，Couchbase升级到v0.13.0，Elasticsearch升级到v0.17.0，Redis升级到v0.5.0。

• 机密插件方面，AWS机密引擎现在会持久化存储条目，Azure插件升级到v0.21.1，GCP插件升级到v0.21.1。

用户体验改进

在用户体验方面，UI进行了多项改进：

• 增加了复制密钥路径按钮，改进了KVv2 JSON密钥详情视图，允许搜索完整密钥内容。

• 修复了多个界面问题，包括数据库连接更新失败、文本溢出等。

• 改进了LDAP层次结构和角色的导航体验。

• 增加了对名称约束扩展的完整支持，可以在创建根证书和中间CA证书时完全指定。

重要修复

1.19.0版本修复了多个重要问题：

• 修复了Azure认证在seal/managed keys中使用联合工作负载身份和托管用户身份的问题。

• 解决了可能导致僵尸dbus-daemon进程的问题。

• 修复了静态角色密码在跨后端重启时错误轮换的问题。

• 解决了PKI颁发者字段enable_aia_url_templating无法设置为false的问题。

• 修复了Transit密钥更新API中的竞态条件问题。

总结

HashiCorp Vault 1.19.0作为一个企业长期支持版本，在安全性、企业功能和核心架构方面都带来了显著改进。自动根凭证轮换、跨账户AWS机密管理等企业功能将大大提升企业用户的使用体验，而多项安全增强和问题修复则进一步巩固了Vault作为机密管理解决方案的领先地位。对于运行关键业务系统的企业来说，升级到这个LTS版本将获得更稳定的支持和更强大的功能集。