Lukas Maly Dimitri Fankhauser

English Version below:

Vor Kurzem hat IBM die Firma Hashicorp gekauft. Obwohl noch nicht alle der HashiCorp Produkte auf IBM LinuxONE verfügbar sind, gibt es bereits zwei, die den Status General Availability (GA) haben und von IBM angeboten werden. Eines dieser Produkte heisst Vault.

Im Kern handelt es sich dabei um ein, in bereits vielen Cloud Umgebungen implementiertes Security Lifecycle Management Tool.

Zentraler Treiber für diesen Trend ist die steigende Komplexität der IT-, und insbesondere Hybrid-Cloud Umgebungen. Früher war es noch einfach: ein Server, eine Applikation, ein Kunde.

Heutzutage haben wir Multi-Cloud, Hybrid-Cloud Deployments mit dutzenden Containern in ebenso vielen Standorten. Sicherheit ist dabei das A und O, denn jede Applikation, jeder User und jeder Server hat Keys, Zertifikate und Secrets. Die Trends gehen klar in Richtung cloud-native und zentralisierte Systeme, die manuelle Prozesse durch automatisierte Lösungen ersetzen.

Zero-Trust-Sicherheit und Just-in-Time-Zugriff gewinnen an Bedeutung, um den Missbrauch von Berechtigungen zu verhindern. Gleichzeitig setzt sich passwortlose Authentifizierung durch, um Schwachstellen zu reduzieren. Angesichts knapper Budgets steigt zudem das Interesse an Open-Source-Lösungen, wobei Unternehmen verstärkt abwägen, ob sie auf Eigenentwicklungen oder Enterprise-Lösungen wie Vault setzen.

Vault ist also ein Security Lifecycle Tool und bietet folgenden Features:

• Hochsicheres Speichern und Verwalten von Secrets, Zertifikaten und Applikationsdaten

• dynamische Secrets: Vault kann on-demand Schlüsselpaare erzeugen

• Leasing & Renewal: Secrets können für eine bestimmte Dauer oder eine bestimmte Anzahl Nutzungen erstellt und danach automatisch deaktiviert werden. Wenn man das nicht will, kann das Secret auch nach einer bestimmten Zeit oder einer bestimmten Anzahl Nutzungen automatisch erneuert werden

• Role-Based Access Control (RBAC): feingranulare Zugriffskontrolle basierend auf Policies für unterschiedliche User, Rollen und Workloads

• Encryption-as-a-Service: anstatt, dass man sich selbst auf Applikationsebene um die Verschlüsselung von Daten kümmern muss, kann man diese Aufgaben an Vault abgeben, sodass die Daten in-transit und at-rest verschlüsselt sind.

Aber warum auf IBM LinuxONE?

Die Kombination aus Linux on Z / LinuxONE und HashiCorp Vault bietet Unternehmen eine leistungsstarke Lösung, um sensible Daten in hybriden und Multi-Cloud-Umgebungen optimal zu schützen. Vault ermöglicht eine zentrale und verschlüsselte Speicherung von Geheimnissen und generiert dynamische Anmeldeinformationen für Datenbanken, APIs und Middleware. Durch die Integration von Hyper Protect Virtual Servers (HPVS) wird der Schutz sensibler Daten im Einsatz weiter verstärkt. Zusätzlich sorgt eine rollenbasierte Zugriffskontrolle (RBAC) dafür, dass der Zugriff auf Geheimnisse strikt nach dem Prinzip des geringstmöglichen Zugriffs geregelt wird.

Vault und die Linux on Z Plattform bilden zudem ein starkes Fundament für Verfügbarkeit und Skalierbarkeit. Die vertikale Skalierbarkeit der LinuxONE-Hardware unterstützt Vaults zentrales Lifecycle-Management und ermöglicht eine konsistente Verwaltung von Geheimnissen auch bei steigenden Workloads. Gleichzeitig reduziert die automatisierte Rotation von Geheimnissen den manuellen Aufwand und minimiert Sicherheitsrisiken, während die Kombination aus Vault und IBM LinuxONE eine durchgehende Verfügbarkeit sicherstellt – sowohl für On-Premises- als auch für Hybrid oder Multi-Cloud-Umgebungen.

Für Performance und Compliance bietet die Kombination aus IBM LinuxONE und Vault erweiterte Verschlüsselungsfunktionen. Integrierte Co-Prozessoren auf dem Telum I und Telum II übernehmen ressourcenintensive Verschlüsselungsoperationen und entlasten den Prozessor für die eigentlichen Workloads. Vault bietet zudem eine umfassende Auditierbarkeit und erfüllt durch die IBM Z FIPS 140-2 Level zertifizierte HSM höchste Sicherheitsstandards. Damit ermöglicht die Lösung eine sichere und nachvollziehbare Verwaltung von Secrets und gewährleistet die Einhaltung regulatorischer Vorgaben in kritischen Infrastrukturen.

Wie bereits erwähnt sind Vault und Nomad jetzt auf IBM LinuxONE verfügbar. 

Link zum Announcement:

https://www.ibm.com/new/announcements/ibm-vault-self-managed-for-z-and-linuxone-and-ibm-nomad-self-managed-for-z-and-linuxone-generally-available

Mehr über Vault lesen:

https://developer.hashicorp.com/vault

Vault auf Linux on Z/LinuxONE: 

HashiCorp Vault and IBM Z and LinuxONE: Bridging the Identity based Secrets Management as IBM Vault Self Managed on IBM Z and LinuxONE - IBM Z and LinuxONE Community

English Version: 

Recently, IBM acquired the company HashiCorp. Although not all HashiCorp products are yet available on IBM LinuxONE, two of them already have the status of General Availability (GA) and are therefore offered by IBM. One of these products is called Vault.

At its core, Vault is a security lifecycle management tool that has already been implemented in many cloud environments.

A key driver of this trend is the increasing complexity of IT environments, especially hybrid cloud setups. In the past, things were simpler: one server, one application, one customer.

Today, we deal with multi-cloud and hybrid-cloud deployments with dozens of containers across just as many locations. Security is paramount, as every application, user, and server has keys, certificates, and secrets. The trend is clearly moving toward cloud-native and centralized systems that replace manual processes with automated solutions.

Zero-trust security and just-in-time access are gaining importance to prevent misuse of privileges. At the same time, passwordless authentication is becoming more common to reduce vulnerabilities. Given tight budgets, interest in open-source solutions is also growing, with companies weighing whether to develop in-house or use enterprise solutions like Vault.

Vault is a security lifecycle tool and offers the following features:

• Highly secure storage and management of secrets, certificates, and application data

• Dynamic secrets: Vault can generate key pairs on demand

• Leasing & renewal: Secrets can be created for a specific duration or number of uses and then automatically deactivated. Alternatively, they can be automatically renewed after a set time or usage count

• Role-Based Access Control (RBAC): Fine-grained access control based on policies for different users, roles, and workloads

• Encryption-as-a-Service: Instead of handling encryption at the application level, Vault can take over, ensuring data is encrypted both in transit and at rest

But why on Linux on Z?

The combination of Linux on Z / LinuxONE and HashiCorp Vault offers companies a powerful solution to optimally protect sensitive data in hybrid and multi-cloud environments. Vault enables centralized and encrypted storage of secrets and generates dynamic credentials for databases, APIs, and middleware. Integration with Hyper Protect Virtual Servers (HPVS) further enhances the protection of sensitive data. Additionally, role-based access control (RBAC) ensures access to secrets is strictly governed by the principle of least privilege.

Vault and the Linux on Z platform also form a strong foundation for availability and scalability. The vertical scalability of LinuxONE hardware supports Vault’s centralized lifecycle management and enables consistent secret management even with increasing workloads. At the same time, automated secret rotation reduces manual effort and minimizes security risks, while the combination of Vault and IBM LinuxONE ensures continuous availability—for on-premises, hybrid, or multi-cloud environments.

For performance and compliance, the combination of IBM LinuxONE and Vault offers enhanced encryption capabilities. Integrated co-processors on the Telum I and Telum II handle resource-intensive encryption operations, freeing up the main processor for actual workloads. Vault also provides comprehensive auditability and, through IBM Z’s FIPS 140-2 Level certified HSM, meets the highest security standards. This enables secure and traceable secret management and ensures compliance with regulatory requirements in critical infrastructures.

As mentioned, Vault and Nomad are now available on IBM LinuxONE.

Link to the announcement: https://www.ibm.com/new/announcements/ibm-vault-self-managed-for-z-and-linuxone-and-ibm-nomad-self-managed-for-z-and-linuxone-generally-available

Read more about Vault: https://developer.hashicorp.com/vault

Vault on Linux on Z: HashiCorp Vault and IBM Z and LinuxONE: Bridging the Identity based Secrets Management as IBM Vault Self Managed on IBM Z and LinuxONE - IBM Z and LinuxONE Community