使用 HashiCorp Vault 和 WIF 保护现代工作负载

Source: HashiCorp Blog

现代企业越来越多地采用云原生模式，在多个云平台、Kubernetes 集群和 CI/CD 流水线中运行工作负载。对于 CIO、CISO 以及技术管理者而言，挑战显而易见：传统的静态凭证和基于边界的安全已不再足够。HashiCorp Vault 与工作负载身份联合（WIF）相结合，使组织能够在降低风险、提升可审计性并简化运维的同时，贯彻零信任原则。

静态凭证的风险

即使对人类用户使用身份联合，工作负载仍常常依赖于存放在代码、配置文件或 CI/CD 流水线中的静态密钥。这会使组织面临：

• 凭证泄露和长期有效的访问
• 多云环境中散布的秘密
• 权限过高的角色，扩大了安全漏洞的影响范围
• 轮换和审计缓慢或不一致

这些风险正是 WIF 与 Vault 旨在缓解的目标。

secret zero 问题

在现代基础设施中，一个关键的安全挑战是 “secret zero”：工作负载访问 Vault 以获取其他机密时所需的第一个凭证。传统上，这个凭证必须存放在某处——代码、环境变量或 CI/CD 流水线中。如果这个初始密钥被泄露，它就会成为通往所有下游机密的入口。

最近的事件

• GitHub 供应链 / GhostAction 攻击（2025）

  • 数千个 CI/CD 密钥被窃取，包括 AWS 密钥和 GitHub 令牌。
  • 工作流中嵌入的长期有效令牌充当了 secret zero，使攻击者能够横向渗透到多个系统。

• GitHub 上广泛的硬编码密钥（2024）

  • 在公共和私有仓库中报告了 2300 万条硬编码密钥。
  • 代码中嵌入的长期有效 API 密钥和凭证为攻击者提供了一个公开的 secret zero。

• 持续泄露的凭证

  • 研究显示，70 % 的泄露密钥在两年或更长时间内仍保持活跃。
  • 静态的初始凭证为攻击者提供了长期立足点，这正是 Vault 所要解决的 secret zero 风险。

• 在 SCM 系统中的暴露

  • 组织仍然在 Git 中存储凭证，为攻击者提供了访问云基础设施的起点。

这些泄露事件和研究结果表明：secret zero 是现代安全事件中的常见因素。

如何通过工作负载身份联合解决 secret zero

Vault 与原生工作负载身份集成，消除嵌入静态 secret zero 凭证的需求：

1. 工作负载使用其原生身份（Kubernetes Service Account、AWS IAM 角色、Azure Managed Identity、GCP Service Account，或 CI/CD OIDC 令牌）进行身份验证。
2. Vault 向外部提供者验证该身份。
3. Vault 为数据库、云 API 或其他 Secrets Engine 签发临时凭证。

此方法去除了硬编码或静态初始凭证的需求，降低了与 secret zero 相关的风险。

关键集成

• AWS IAM – 工作负载在 AWS 中假设角色；Vault 签发短期凭证（AWS WIF）。
• Azure Managed Identity – Vault 在验证服务主体后签发临时密钥（Azure WIF）。
• Google Cloud Service Accounts – Vault 利用联合令牌获取临时 IAM 凭证（GCP WIF）。
• Kubernetes Service Accounts – Pod 通过 JWT 令牌进行身份验证，并映射到 Vault 策略。
• CI/CD pipelines (GitHub/GitLab OIDC) – 流水线获取短期凭证，而非长期令牌（参见 HCP Vault WIF 文档）。

Vault 与工作负载的零信任

Vault 将 WIF 转变为零信任执行点：

• 短暂凭证在工作负载被攻破时可降低影响范围。
• Vault 策略在各环境中始终如一地执行最小特权访问。
• 持续验证和自动吊销确保只有有效身份能够获取机密。
• 集中的审计日志支持合规性和取证调查。

通过将 WIF 与零信任策略相结合，Vault 使工作负载在使用基于身份的认证时无需存储长期静态机密即可运行。

企业工作负载的架构模式

Vault 和 WIF 可以在企业工作负载中使用：

• 多云工作负载 – AWS、Azure 和 GCP 工作负载使用本机身份进行认证；Vault 发放临时凭证；策略强制最小权限。
• Kubernetes 集群 – Pod 通过服务账户进行认证，获取用于云 API、数据库或 TLS 证书的临时密钥。
• CI/CD 流水线 – GitHub 或 GitLab 流水线获取动态凭证进行部署，避免暴露静态密钥。
• 私有连接 – 使用 HCP Vault Dedicated 搭配 AWS PrivateLink，实现工作负载与 Vault 之间的安全、非公开通信。

这些模式在云、集群和流水线之间提供一致的安全模型，同时显著降低零密钥风险。

业务影响

• 减少因凭证散布导致的运营风险。
• 通过用可验证的短期身份声明取代静态的零密钥凭证，消除静态秘密。
• 持续执行最小权限策略。
• 自动化凭证轮换和吊销。
• 提升审计可追溯性和合规性。
• 更快且安全的 DevOps 与云运营。

对于 CIO 和 CISO，这意味着更好的风险管理和更小的攻击面。对于技术团队，它使得工作负载在安全、敏捷的同时，无需运营摩擦。

下一步

• 探索 Vault 工作负载身份联合教程: Vault WIF tutorial。
• 实施具有私有连接的 HCP Vault Dedicated: AWS PrivateLink + Vault。
• 为单个云或 Kubernetes 工作负载试点 WIF，以验证临时凭证和策略。
• 尝试 HashiCorp 管理的 HCP Vault Dedicated，以实现更快的上手和管理。

身份是新的边界。Vault 使零信任变为真实、可强制执行且可扩展的，同时消除现代工作负载的 secret‑zero 风险。