Venafi-sleutelintegrasies
Ontwikkelaars het reeds baie werk om te doen, en daar word ook van hulle verwag om kundige kennis van kriptografie en publieke sleutelinfrastruktuur (PKI) te hΓͺ. Dit is nie reg nie.
Inderdaad, elke masjien moet 'n geldige TLS-sertifikaat hΓͺ. Dit is nodig vir bedieners, houers, virtuele masjiene en in diensnetwerke. Maar die aantal sleutels en sertifikate groei soos 'n sneeubal, en bestuur raak vinnig chaoties, duur en riskant as jy alles self doen. Sonder goeie beleidstoepassing en moniteringspraktyke kan besighede ly as gevolg van swak sertifikate of onverwagte vervaldatums.
GlobalSign en Venafi het twee webuitsendings georganiseer om devops te help. , en die tweede - met om die PKI-stelsel vanaf GlobalSign via die Venafi-wolk te koppel deur oopbronnutsmiddels via HashiCorp Vault vanaf die Jenkins CI/CD-pyplyn te gebruik.
Die hoofprobleme van bestaande sertifikaatbestuursprosesse word veroorsaak deur 'n groot aantal prosedures:
- Genereer self-ondertekende sertifikate in OpenSSL.
- Werk met verskeie HashiCorp Vault-gevalle om privaat CA of selfondertekende sertifikate te bestuur.
- Registrasie van aansoeke vir betroubare sertifikate.
- Gebruik sertifikate van publieke wolkverskaffers.
- Outomatisering van Kom ons Enkripteer sertifikaathernuwings
- Skryf jou eie skrifte
- Selfkonfigurasie van DevOps-nutsgoed soos Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Alle prosedures verhoog die risiko van foute en is tydrowend. Venafi probeer hierdie probleme oplos en die lewe vir devops makliker maak.
Die GlobalSign en Venafi-demo bestaan ββuit twee afdelings. Eerstens, hoe om Venafi Cloud en GlobalSign PKI op te stel. Dan hoe om dit te gebruik om sertifikate aan te vra volgens gevestigde beleide, met behulp van bekende gereedskap.
Sleutelonderwerpe:
- Outomatisering van sertifikaatuitreiking binne bestaande DevOps CI/CD-metodologieΓ« (byvoorbeeld Jenkins).
- Onmiddellike toegang tot PKI en sertifikaatdienste oor die hele toepassingstapel (uitreiking van sertifikate binne twee sekondes)
- Standaardisering van publieke sleutelinfrastruktuur met klaargemaakte oplossings vir integrasie met houerorkestrasie, geheimebestuur en outomatiseringsplatforms (byvoorbeeld Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack en ander). Die algemene skema vir die uitreiking van sertifikate word in die illustrasie hieronder getoon.
Skema vir die uitreiking van sertifikate deur HashiCorp Vault, Venafi Cloud en GlobalSign. In die diagram staan ββCSR vir Certificate Signing Request. - HoΓ« deurset en betroubare PKI-infrastruktuur vir dinamiese, hoogs skaalbare omgewings
- Gebruik sekuriteitsgroepe deur beleide en sigbaarheid van uitgereikte sertifikate
Hierdie benadering laat jou toe om 'n betroubare stelsel te organiseer sonder om 'n kenner in kriptografie en PKI te wees.
Venafi Secrets Engine
Venafi beweer selfs dat dit 'n meer koste-effektiewe oplossing op die lang termyn is, aangesien dit nie die betrokkenheid van hoogs betaalde PKI-spesialiste en ondersteuningskoste vereis nie.
Die oplossing is volledig geΓ―ntegreer in die bestaande CI/CD-pyplyn en dek al die maatskappy se sertifikaatbehoeftes. Op hierdie manier kan ontwikkelaars en devops vinniger werk sonder om moeilike kriptografiese probleme te hanteer.
Bron: will.com