← Zurück zur Bibliothek
Secrets Management Anbieter: HashiCorp

HashiCorp Vault

HashiCorp Vault ist ein identitätsbasiertes Secrets- und Verschlüsselungsmanagementsystem, das 2015 eingeführt wurde. Vault verwaltet zentral Secrets (API-Schlüssel, Passwörter, Zertifikate) mit dynamischer Secrets-Generierung, Verschlüsselung als Service und feinkörniger Zugriffskontrolle. Stand Oktober 2025 ist Vault der Industriestandard für Secrets Management, genutzt von Fortune 500-Unternehmen zum Schutz sensibler Daten in Cloud- und On-Premise-Umgebungen. Für KI-Systeme: Sichere LLM-API-Schlüssel, Verwaltung von Datenbankzugangsdaten, automatische Secrets-Rotation, Audit aller Zugriffe. Hauptfunktionen: Dynamische Secrets, Secret-Versionierung, Verschlüsselungs-APIs, PKI-Zertifikatsverwaltung, Kubernetes-Integration. Open Source (MPL 2.0) mit Enterprise-Features (HSM, DR-Replikation, Namespaces).

HashiCorp Vault
secrets-management security devops encryption

Überblick

Vault adressiert das Problem verteilter Secrets: Hardcodierte Zugangsdaten, Umgebungsvariablen, Konfigurationsdateien. Lösung: Zentralisierte Secrets-Speicherung mit Verschlüsselung im Ruhezustand (AES-256-GCM), Zugriffskontrolle (Policies), Audit-Logging und dynamische Secrets. Dynamische Secrets: Vault generiert kurzlebige Zugangsdaten on-demand (Datenbankpasswörter gültig für 1 Stunde, AWS-Schlüssel für 15 Minuten). Vorteile: Reduzierte Angriffsfläche, automatische Rotation, Audit-Trail. Für KI: Sichere Speicherung von OpenAI/Anthropic-API-Schlüsseln, Generierung temporärer Datenbankzugangsdaten für Trainingsdatenzugriff, Verschlüsselung von PII vor Speicherung in Vektordatenbanken, Verwaltung von TLS-Zertifikaten für LLM-Serving-Endpunkte. Vault integriert sich mit Kubernetes, AWS, GCP, Azure für nahtlose Secrets-Injection.

Hauptfunktionen

  • Dynamische Secrets: Automatische Generierung kurzlebiger Zugangsdaten
  • Secret-Versionierung: Änderungsverfolgung, Rollback zu vorherigen Versionen
  • Verschlüsselung als Service: Ver-/Entschlüsselung von Daten ohne Schlüsselspeicherung
  • Leasing & Erneuerung: Alle Secrets haben TTL, automatische Rotation
  • Audit-Logging: Umfassender Audit-Trail aller Operationen
  • Zugriffsrichtlinien: Feinkörnige ACL mit pfadbasierten Berechtigungen
  • Multiple Auth-Methoden: Token, LDAP, GitHub, Kubernetes, AWS IAM
  • Secrets-Engines: KV-Store, Datenbanken, AWS, PKI, SSH, Transit-Verschlüsselung

Code-Beispiel

# HashiCorp Vault Python client
import hvac

# Initialize client
client = hvac.Client(
    url='http://localhost:8200',
    token='your-vault-token'
)

# Store static secret (e.g., OpenAI API key)
client.secrets.kv.v2.create_or_update_secret(
    path='ai/openai',
    secret={
        'api_key': 'sk-proj-...',
        'org_id': 'org-...'
    }
)

# Read secret
secret = client.secrets.kv.v2.read_secret_version(path='ai/openai')
openai_key = secret['data']['data']['api_key']

# Use in OpenAI client
from openai import OpenAI
openai_client = OpenAI(api_key=openai_key)

# Dynamic database credentials
# Configure Vault to generate Postgres credentials
# vault write database/config/my-postgres-db \
#   plugin_name=postgresql-database-plugin \
#   connection_url="postgresql://{{username}}:{{password}}@localhost:5432/mydb"

# Generate temporary DB credentials
creds = client.secrets.database.generate_credentials('my-postgres-db')
db_username = creds['data']['username']  # e.g., v-token-my-role-8h3kj2
db_password = creds['data']['password']
lease_duration = creds['lease_duration']  # 3600 seconds

print(f"DB user: {db_username}, valid for {lease_duration}s")

# Use temporary credentials
import psycopg2
conn = psycopg2.connect(
    host="localhost",
    database="mydb",
    user=db_username,
    password=db_password
)

# Encryption as a service (Transit engine)
# Encrypt PII before storing
plaintext = "user@example.com"
encrypted = client.secrets.transit.encrypt_data(
    name='my-key',
    plaintext=plaintext
)
ciphertext = encrypted['data']['ciphertext']  # vault:v1:8SDd3WHDOjf...

# Decrypt when needed
decrypted = client.secrets.transit.decrypt_data(
    name='my-key',
    ciphertext=ciphertext
)
original = decrypted['data']['plaintext']

# Kubernetes integration (auto-inject secrets)
# apiVersion: v1
# kind: Pod
# metadata:
#   annotations:
#     vault.hashicorp.com/agent-inject: "true"
#     vault.hashicorp.com/agent-inject-secret-openai: "secret/ai/openai"
#     vault.hashicorp.com/role: "my-app"
# spec:
#   serviceAccountName: my-app
#   containers:
#   - name: app
#     image: myapp:latest
#     # Secrets available at /vault/secrets/openai

Vault für KI-Systeme

  • LLM-API-Schlüssel: Sichere Speicherung von OpenAI-, Anthropic-, Cohere-Schlüsseln
  • Trainingsdatenzugriff: Dynamische DB-Zugangsdaten für Zugriff auf Trainingsdatensätze
  • Modell-Serving: Secrets-Injection in Serving-Container (Kubernetes-Sidecar)
  • PII-Verschlüsselung: Transit-Engine zur Verschlüsselung sensibler Daten vor Speicherung
  • Zertifikatsverwaltung: TLS-Zertifikate für LLM-API-Endpunkte (Auto-Renewal)
  • Multi-Cloud: Einheitliche Credential-Verwaltung über AWS, GCP, Azure
  • Audit-Compliance: Erfüllung von GDPR/SOC2-Anforderungen mit umfassenden Audit-Logs
  • Secret-Rotation: Automatische Rotation von API-Schlüsseln, DB-Passwörtern nach Zeitplan

Vault vs. Alternativen

AWS Secrets Manager: AWS-nativ, einfacher aber weniger flexibel, $0.40/Secret/Monat. Azure Key Vault: Azure-nativ, integriert mit Azure AD, $0.03/10K Operationen. Google Secret Manager: GCP-nativ, gut für GCP-Workloads, $0.06/10K Operationen. HashiCorp Vault: Multi-Cloud, die meisten Funktionen (dynamische Secrets, Verschlüsselungs-Service), steilere Lernkurve, kostenlos (OSS) oder $150+/Monat (Enterprise). Wähle Vault für: Multi-Cloud-Deployments, erweiterte Funktionen (dynamische Secrets, Verschlüsselung als Service), Compliance-Anforderungen. Wähle Cloud-native für: Single-Cloud-Deployments, einfacheres Setup, Präferenz für Managed Services.

Professionelle Integrationsdienste von 21medien

21medien bietet Vault-Implementierungsdienste einschließlich Architekturdesign, Policy-Konfiguration, Secrets-Migration, Kubernetes-Integration und Compliance-Setup. Unser Team spezialisiert sich auf die Absicherung von KI-Systemen mit Vault: API-Key-Management, dynamische Zugangsdaten für Datenzugriff, Verschlüsselung für PII und Audit-Logging. Kontaktieren Sie uns für Vault-Deployment und Secrets-Management-Beratung.

Ressourcen

Offizielle Website: https://www.vaultproject.io | Dokumentation: https://developer.hashicorp.com/vault | GitHub: https://github.com/hashicorp/vault | Learning: https://learn.hashicorp.com/vault

Offizielle Ressourcen

https://www.vaultproject.io

Verwandte Technologien

AWS Secrets Manager

AWS secrets service

Kubernetes

Container orchestration

GDPR Compliance

Data protection