Unser Partner Computacenter unterstützt einen Kunden in der öffentlichen Verwaltung in Deutschland beim Aufbau einer privaten Cloud. Um die Sicherheit der Cloud zu gewährleisten, sind in dem Projekt eine Reihe von Anforderungen zu erfüllen:

• Sichere Verwaltung von privaten Schlüsseln, symmetrischen Schlüsseln, API Keys und Passwörtern.

• Eine PKI für interne Zertifikate muss aufgebaut werden.

• Es ist eine strikte Mandantentrennung umzusetzen.

• Es wird eine Freigabe für VS-NfD Dokumente benötigt, was in etwa der Klassifizierung “geheim” in der freien Wirtschaft entspricht.

Computacenter hat mit dem HashiCorp Vault eine Lösung gefunden, die eine Reihe von für das Projekt wichtigen Eigenschaften aufweist: so ist Vault beispielsweise - so wie auch alle anderen Produkte von HashiCorp - Open Source, weshalb der Source Code jederzeit für Prüfungen zur Verfügung steht. Dies hat Computacenter dabei geholfen, elementare Fragen des BSI (Bundesamt für Sicherheit in der Informationstechnik) zu beantworten. Auch die Unterstützung des einzigen seitens des BSI zugelassenen HSMs (Hardware Security Modul) von Utimaco war sehr wichtig für die Auswahl von HashiCorp Vault, da dieser hiermit zusätzlich abgesichert und auch automatisiert gestartet werden soll. Weitere Gründe für die Auswahl von HashiCorp waren die Mandantentrennung in Kombination mit dem fein granularen Rollen- und Berechtigungsmanagement, die große Anzahl von Authentisierungsmethoden und Secret Engines, sowie die Auditfunktionalitäten.

Jeder, der schon mit HashiCorp Vault gearbeitet hat, kann bestätigen, dass Vault eine Vielzahl von Anwendungsfällen abdeckt. In diesem Projekt ist HashiCorp Vault gleich für mehrere Use Cases vorgesehen:

1. Voll automatisiertes Zertifikatsmanagement für alle Dienste in der Cloud, und zwar sowohl für die Erstausstellung, als auch für die regelmäßige Erneuerung der Zertifikate.

2. Ebenso werden alle Secrets in Vault gespeichert, um den Austausch der Secrets mit anderen Systemen und die Auditierbarkeit der Zugriffe auf die Secrets zu gewährleisten.

3. Seitens des BSI gibt es sehr hohen Anforderungen an die Mandantentrennung für Storage-Systeme. Diese sind normalerweise nur mit dedizierten Storage-Systemen für jeden Mandanten umzusetzen, was in diesem Projekt aber aus Kostengründen keine Option dargestellt hat. Statt dessen ist auch hier der HashiCorp Vault vorgesehen, um den Storage sicher zu verschlüsseln und so die BSI-Anforderungen zu erfüllen und gleichzeitig die Kosten signifikant zu reduzieren.