Помощь девопсам по внедрению PKI

Ключевые интеграции Venafi

У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI). Это неправильно.

Действительно, у каждой машины должен быть валидный TLS-сертификат. Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия.

GlobalSign и Venafi организовали два вебкаста в помощь девопсам. Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.

Основные проблемы существующих процессов по управлению сертификатами вызваны большим количеством процедур:

• Генерация самоподписанных сертификатов в OpenSSL.
• Работа с множеством инстансов HashiCorp Vault для управления частным центром сертификации или самоподписанными сертификатами.
• Оформление заявок на доверенные сертификаты.
• Использование сертификатов от публичных облачных провайдеров.
• Автоматизация обновления сертификатов Let’s Encrypt
• Написание собственных скриптов
• Самостоятельная настройка инструментов для DevOps вроде Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry

Все процедуры повышают риск ошибки и отнимают много времени. Venafi пытается решить эти проблемы и упростить жизнь девопсам.

Демо GlobalSign и Venafi состоит из двух разделов. Во-первых, как настроить Venafi Cloud и GlobalSign PKI. Затем, как его использовать для запроса сертификатов согласно установленным политикам, с помощью знакомых инструментов.

Ключевые темы:

• Автоматизация выдачи сертификатов в рамках существующих методик DevOps CI/CD (например, Jenkins).
• Мгновенный доступ к PKI и службам сертификации по всему стеку приложений (выдача сертификатов в течение двух секунд)
• Стандартизация инфраструктуры открытых ключей с готовые решения по интеграции с платформами оркестровки контейнеров, управления секретами и автоматизации (например, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack и другие). Общая схема выдачи сертификатов показана на иллюстрации ниже.

  
  Схема выдачи сертификатов через HashiCorp Vault, Venafi Cloud и GlobalSign. На схеме CSR означает «запрос на подпись сертификата» (Certificate Signing Request)

• Высокая пропускная способность и надёжная инфраструктура PKI для динамических, сильно масштабируемых сред
• Использование групп безопасности через политики и видимость выданных сертификатов

Подобный подход позволяет организовать надёжную систему, не будучи экспертом в криптографии и PKI.

Venafi Secrets Engine

Venafi даже уверяет, что в конечном итоге это более экономичное решение, поскольку не требует привлечения высокооплачиваемых специалистов по PKI и расходов на поддержку.

Решение полностью интегрируется в существующий конвейер CI/CD и покрывает все потребности компании в сертификатах. Таким образом, разработчики и девопсы могут работать быстрее и не разбираться с трудными криптографическими вопросами.

Источник: habr.com