تكاملات Venafi الرئيسية
يتعين على فريق DevOps القيام بالكثير من العمل، ومن المتوقع أيضًا أن يكون لديهم معرفة متخصصة في التشفير والبنية الأساسية للمفتاح العام (PKI). هذا خطأ.
في الواقع، يجب أن يكون لدى كل جهاز شهادة TLS صالحة. إنها ضرورية للخوادم والحاويات والآلات الافتراضية وشبكات الخدمة. لكن عدد المفاتيح والشهادات يتزايد بسرعة، وتصبح الإدارة فوضوية ومكلفة ومحفوفة بالمخاطر إذا قمت بكل شيء بنفسك. بدون تطبيق السياسات المناسبة وممارسات المراقبة، قد تعاني الشركات من ضعف الشهادات أو انتهاء صلاحيتها بشكل غير متوقع.
استضافت GlobalSign وVenafi ندوتين عبر الإنترنت لمساعدة DevOps. والثانية - مع حول توصيل نظام PKI من GlobalSign عبر سحابة Venafi باستخدام أدوات مفتوحة المصدر عبر HashiCorp Vault من خط أنابيب Jenkins CI/CD.
إن المشاكل الرئيسية في عمليات إدارة الشهادات الحالية ناجمة عن العدد الكبير من الإجراءات:
- إنشاء شهادات موقعة ذاتيًا في OpenSSL.
- العمل مع العديد من مثيلات HashiCorp Vault لإدارة الشهادات الخاصة بك أو الشهادات الموقعة ذاتيًا.
- تقديم طلبات للحصول على شهادات موثوقة.
- استخدام الشهادات من موفري السحابة العامة.
- أتمتة تجديد شهادة Let's Encrypt
- كتابة النصوص الخاصة بك
- التكوين الذاتي لأدوات DevOps مثل Red Hat Ansible وKubernetes وPivotal Cloud Foundry
إن كافة الإجراءات تزيد من خطر الخطأ وتستغرق وقتا طويلا. تحاول Venafi حل هذه المشكلات وتسهيل حياة DevOps.
يتكون العرض التوضيحي لـ GlobalSign وVenafi من قسمين. أولاً، كيفية إعداد Venafi Cloud وGlobalSign PKI. ثم، كيفية استخدامه لطلب الشهادات وفقًا للسياسات المعمول بها، باستخدام الأدوات المألوفة.
الموضوعات الرئيسية:
- أتمتة إصدار الشهادة ضمن ممارسات DevOps CI/CD الحالية (على سبيل المثال Jenkins).
- الوصول الفوري إلى خدمات PKI والشهادات عبر مجموعة التطبيقات بأكملها (إصدار الشهادات في غضون ثانيتين)
- توحيد البنية التحتية للمفتاح العام باستخدام حلول جاهزة للاستخدام للتكامل مع تنظيم الحاويات وإدارة الأسرار ومنصات التشغيل الآلي (على سبيل المثال Kubernetes وOpenShift وTerraform وHashiCorp Vault وAnsible وSaltStack وغيرها). يظهر المخطط العام لإصدار الشهادات في الرسم التوضيحي أدناه.
مخطط إصدار الشهادات عبر HashiCorp Vault وVenafi Cloud وGlobalSign. في الرسم التخطيطي، يشير CSR إلى طلب توقيع الشهادة. - بنية تحتية PKI عالية الإنتاجية وموثوقة للبيئات الديناميكية القابلة للتطوير بدرجة كبيرة
- استخدام مجموعات الأمان من خلال السياسات ورؤية الشهادات الصادرة
يتيح لك هذا النهج تنظيم نظام موثوق به دون أن تكون خبيرًا في التشفير والبنية التحتية للمفتاح العام (PKI).
محرك فينافي السري
وتزعم شركة Venafi أيضًا أنها في النهاية حل أكثر فعالية من حيث التكلفة، حيث أنها لا تتطلب متخصصين في البنية التحتية للمفتاح العام (PKI) بأجور عالية وتكاليف دعم.
يتكامل الحل بشكل كامل مع خط أنابيب CI/CD الحالي ويغطي جميع احتياجات الشركة من الشهادات. بهذه الطريقة، يمكن للمطورين وفرق DevOps العمل بشكل أسرع وعدم الاضطرار إلى التعامل مع مشكلات تشفير معقدة.
المصدر: www.habr.com
