У дэвапсаў і так шмат працы, а ад іх яшчэ патрабуюць экспертных ведаў па крыптаграфіі і інфраструктуры адкрытых ключоў (PKI). Гэта не правільна.
Сапраўды, у кожнай машыны павінен быць валідны TLS-сертыфікат. Яны патрэбны для сервераў, кантэйнераў, віртуальных машын, у сетках service mesh. Але колькасць ключоў і сертыфікатаў расце як снежны ком, а кіраванне хутка становіцца хаатычным, дарагім і рызыкоўным, калі ўсё рабіць самастойна. Пры адсутнасці належнай практыкі прымянення палітык і маніторынгу бізнес можа пацярпець з-за слабых сертыфікатаў або нечаканага заканчэння тэрміна дзеяння.
GlobalSign і Venafi арганізавалі два вэбкасты ў дапамогу дэвапсам.
Асноўныя праблемы існуючых працэсаў па кіраванні сертыфікатамі выкліканы вялікай колькасцю працэдур:
- Генерацыя самападпісаных сертыфікатаў у OpenSSL.
- Праца з мноствам інстансаў HashiCorp Vault для кіравання прыватным цэнтрам сертыфікацыі або самападпісанымі сертыфікатамі.
- Афармленне заявак на давераныя сертыфікаты.
- Выкарыстанне сертыфікатаў ад публічных хмарных правайдэраў.
- Аўтаматызацыя абнаўлення сертыфікатаў Let's Encrypt
- Напісанне ўласных скрыптоў
- Самастойная настройка інструментаў для DevOps накшталт Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Усе працэдуры павышаюць рызыку памылкі і забіраюць шмат часу. Venafi спрабуе вырашыць гэтыя праблемы і спрасціць жыццё дэвапсам.
Дэма GlobalSign і Venafi складаецца з двух раздзелаў. Па-першае, як наладзіць Venafi Cloud і GlobalSign PKI. Затым, як яго выкарыстоўваць для запыту сертыфікатаў згодна з устаноўленым палітыкам, з дапамогай знаёмых інструментаў.
Ключавыя тэмы:
- Аўтаматызацыя выдачы сертыфікатаў у рамках існых методык DevOps CI/CD (напрыклад, Jenkins).
- Імгненны доступ да PKI і службам сертыфікацыі па ўсім стэку прыкладанняў (выдача сертыфікатаў на працягу двух секунд)
- Стандартызацыя інфраструктуры адкрытых ключоў з гатовыя рашэнні па інтэграцыі з платформамі аркестроўкі кантэйнераў, кіравання сакрэтамі і аўтаматызацыі (напрыклад, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack і іншыя). Агульная схема выдачы сертыфікатаў паказана на ілюстрацыі ніжэй.
Схема выдачы сертыфікатаў праз HashiCorp Vault, Venafi Cloud і GlobalSign. На схеме CSR азначае "запыт на подпіс сертыфіката" (Certificate Signing Request) - Высокая прапускная здольнасць і надзейная інфраструктура PKI для дынамічных, моцна якія маштабуюцца асяроддзяў
- Выкарыстанне груп бяспекі праз палітыкі і бачнасць выдадзеных сертыфікатаў
Падобны падыход дазваляе арганізаваць надзейную сістэму, не будучы экспертам у крыптаграфіі і PKI.
Venafi нават запэўнівае, што ў канчатковым выніку гэта больш эканамічнае рашэнне, паколькі не патрабуе прыцягнення высокааплатных адмыслоўцаў па PKI і выдаткаў на падтрымку.
Рашэнне цалкам інтэгруецца ў існуючы канвеер CI/CD і пакрывае ўсе запатрабаванні кампаніі ў сертыфікатах. Такім чынам, распрацоўшчыкі і дэвопсы могуць працаваць хутчэй і не разбірацца з цяжкімі крыптаграфічнымі пытаннямі.
Крыніца: habr.com