Подпомагане на devops за внедряване на PKI

Ключови интеграции на Venafi

Разработчиците вече имат много работа за вършене и от тях също се изисква да имат експертни познания по криптография и инфраструктура с публичен ключ (PKI). Не е правилно.

Всъщност всяка машина трябва да има валиден TLS сертификат. Те са необходими за сървъри, контейнери, виртуални машини и мрежи за услуги. Но броят на ключовете и сертификатите расте като снежна топка и управлението бързо става хаотично, скъпо и рисковано, ако правите всичко сами. Без добро прилагане на политиката и практики за наблюдение, фирмите могат да пострадат поради слаби сертификати или неочаквано изтичане.

GlobalSign и Venafi организираха две уебкастове в помощ на devops. Първият е въвеждащ, а вторият - с по-конкретни технически съвети за свързване на PKI системата от GlobalSign чрез облака Venafi с помощта на инструменти с отворен код чрез HashiCorp Vault от Jenkins CI/CD тръбопровода.

Основните проблеми на съществуващите процеси за управление на сертификати са причинени от голям брой процедури:

• Генериране на самоподписани сертификати в OpenSSL.
• Работете с множество екземпляри на HashiCorp Vault, за да управлявате частни CA или самоподписани сертификати.
• Регистрация на заявления за доверени сертификати.
• Използване на сертификати от доставчици на публичен облак.
• Автоматизиране на подновяването на сертификати Let's Encrypt
• Писане на собствени сценарии
• Самоконфигуриране на DevOps инструменти като Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry

Всички процедури увеличават риска от грешка и отнемат време. Venafi се опитва да разреши тези проблеми и да улесни живота на devops.

Демонстрацията на GlobalSign и Venafi се състои от два раздела. Първо, как да настроите Venafi Cloud и GlobalSign PKI. Тогава как да го използвате, за да поискате сертификати според установените политики, като използвате познати инструменти.

Ключови теми:

• Автоматизиране на издаването на сертификати в рамките на съществуващите методологии DevOps CI/CD (например Jenkins).
• Незабавен достъп до PKI и сертификатни услуги в целия стек от приложения (издаване на сертификати в рамките на две секунди)
• Стандартизация на инфраструктура с публичен ключ с готови решения за интеграция с оркестрация на контейнери, управление на тайни и платформи за автоматизация (например Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack и други). Общата схема за издаване на сертификати е показана на илюстрацията по-долу.

  
  Схема за издаване на сертификати чрез HashiCorp Vault, Venafi Cloud и GlobalSign. В диаграмата CSR означава Искане за подписване на сертификат.

• Висока производителност и надеждна PKI инфраструктура за динамични, силно скалируеми среди
• Използване на групи за сигурност чрез политики и видимост на издадените сертификати

Този подход ви позволява да организирате надеждна система, без да сте експерт по криптография и PKI.

Venafi Secrets Engine

Venafi дори твърди, че това е по-рентабилно решение в дългосрочен план, тъй като не изисква участието на високоплатени PKI специалисти и разходи за поддръжка.

Решението е напълно интегрирано в съществуващата CI/CD линия и покрива всички нужди на компанията от сертификати. По този начин разработчиците и devops могат да работят по-бързо, без да се налага да се справят с трудни криптографски проблеми.

Източник: www.habr.com