ΠŸΠΎΠΌΠΎΡ‰ΡŒ дСвопсам ΠΏΠΎ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΡŽ PKI

ΠŸΠΎΠΌΠΎΡ‰ΡŒ дСвопсам ΠΏΠΎ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΡŽ PKI
ΠšΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ Venafi

Π£ дСвопсов ΠΈ Ρ‚Π°ΠΊ ΠΌΠ½ΠΎΠ³ΠΎ Ρ€Π°Π±ΠΎΡ‚Ρ‹, Π° ΠΎΡ‚ Π½ΠΈΡ… Π΅Ρ‰Ρ‘ Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ экспСртных Π·Π½Π°Π½ΠΈΠΉ ΠΏΠΎ ΠΊΡ€ΠΈΠΏΡ‚ΠΎΠ³Ρ€Π°Ρ„ΠΈΠΈ ΠΈ инфраструктурС ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ (PKI). Π­Ρ‚ΠΎ Π½Π΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ.

Π”Π΅ΠΉΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ, Ρƒ ΠΊΠ°ΠΆΠ΄ΠΎΠΉ ΠΌΠ°ΡˆΠΈΠ½Ρ‹ Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ Π²Π°Π»ΠΈΠ΄Π½Ρ‹ΠΉ TLS-сСртификат. Они Π½ΡƒΠΆΠ½Ρ‹ для сСрвСров, ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹Ρ… машин, Π² сСтках service mesh. Но количСство ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΈ сСртификатов растёт ΠΊΠ°ΠΊ снСТный ΠΊΠΎΠΌ, Π° ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΠ΅ быстро становится Ρ…Π°ΠΎΡ‚ΠΈΡ‡Π½Ρ‹ΠΌ, дорогостоящим ΠΈ рискованным, Ссли всё Π΄Π΅Π»Π°Ρ‚ΡŒ ΡΠ°ΠΌΠΎΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΠ½ΠΎ. ΠŸΡ€ΠΈ отсутствии Π½Π°Π΄Π»Π΅ΠΆΠ°Ρ‰Π΅ΠΉ ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠΈ примСнСния ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ ΠΈ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π° бизнСс ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΎΡΡ‚Ρ€Π°Π΄Π°Ρ‚ΡŒ ΠΈΠ·-Π·Π° слабых сСртификатов ΠΈΠ»ΠΈ Π½Π΅ΠΎΠΆΠΈΠ΄Π°Π½Π½ΠΎΠ³ΠΎ истСчСния срока дСйствия.

GlobalSign ΠΈ Venafi ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Π»ΠΈ Π΄Π²Π° вСбкаста Π² ΠΏΠΎΠΌΠΎΡ‰ΡŒ дСвопсам. ΠŸΠ΅Ρ€Π²Ρ‹ΠΉ β€” Π²Π²ΠΎΠ΄Π½Ρ‹ΠΉ, Π° Π²Ρ‚ΠΎΡ€ΠΎΠΉ β€” с Π±ΠΎΠ»Π΅Π΅ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΌΠΈ тСхничСскими совСтами ΠΏΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡŽ систСмы PKI ΠΎΡ‚ GlobalSign Ρ‡Π΅Ρ€Π΅Π· ΠΎΠ±Π»Π°ΠΊΠΎ Venafi с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ опСнсорсных инструмСнтов Ρ‡Π΅Ρ€Π΅Π· HashiCorp Vault ΠΈΠ· ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€Π° Jenkins CI/CD.

ΠžΡΠ½ΠΎΠ²Π½Ρ‹Π΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… процСссов ΠΏΠΎ ΡƒΠΏΡ€Π°Π²Π»Π΅Π½ΠΈΡŽ сСртификатами Π²Ρ‹Π·Π²Π°Π½Ρ‹ большим количСством ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€:

  • ГСнСрация самоподписанных сСртификатов Π² OpenSSL.
  • Π Π°Π±ΠΎΡ‚Π° с мноТСством инстансов HashiCorp Vault для управлСния частным Ρ†Π΅Π½Ρ‚Ρ€ΠΎΠΌ сСртификации ΠΈΠ»ΠΈ самоподписанными сСртификатами.
  • ΠžΡ„ΠΎΡ€ΠΌΠ»Π΅Π½ΠΈΠ΅ заявок Π½Π° Π΄ΠΎΠ²Π΅Ρ€Π΅Π½Π½Ρ‹Π΅ сСртификаты.
  • ИспользованиС сСртификатов ΠΎΡ‚ ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΎΠ±Π»Π°Ρ‡Π½Ρ‹Ρ… ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€ΠΎΠ².
  • Автоматизация обновлСния сСртификатов Let’s Encrypt
  • НаписаниС собствСнных скриптов
  • Π‘Π°ΠΌΠΎΡΡ‚ΠΎΡΡ‚Π΅Π»ΡŒΠ½Π°Ρ настройка инструмСнтов для DevOps Π²Ρ€ΠΎΠ΄Π΅ Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry

ВсС ΠΏΡ€ΠΎΡ†Π΅Π΄ΡƒΡ€Ρ‹ ΠΏΠΎΠ²Ρ‹ΡˆΠ°ΡŽΡ‚ риск ошибки ΠΈ ΠΎΡ‚Π½ΠΈΠΌΠ°ΡŽΡ‚ ΠΌΠ½ΠΎΠ³ΠΎ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ. Venafi пытаСтся Ρ€Π΅ΡˆΠΈΡ‚ΡŒ эти ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΡ‹ ΠΈ ΡƒΠΏΡ€ΠΎΡΡ‚ΠΈΡ‚ΡŒ Тизнь дСвопсам.

ΠŸΠΎΠΌΠΎΡ‰ΡŒ дСвопсам ΠΏΠΎ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΡŽ PKI

Π”Π΅ΠΌΠΎ GlobalSign ΠΈ Venafi состоит ΠΈΠ· Π΄Π²ΡƒΡ… Ρ€Π°Π·Π΄Π΅Π»ΠΎΠ². Π’ΠΎ-ΠΏΠ΅Ρ€Π²Ρ‹Ρ…, ΠΊΠ°ΠΊ Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Venafi Cloud ΠΈ GlobalSign PKI. Π—Π°Ρ‚Π΅ΠΌ, ΠΊΠ°ΠΊ Π΅Π³ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для запроса сСртификатов согласно установлСнным ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠ°ΠΌ, с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Π·Π½Π°ΠΊΠΎΠΌΡ‹Ρ… инструмСнтов.

ΠšΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ Ρ‚Π΅ΠΌΡ‹:

  • Автоматизация Π²Ρ‹Π΄Π°Ρ‡ΠΈ сСртификатов Π² Ρ€Π°ΠΌΠΊΠ°Ρ… ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΡ… ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΈΠΊ DevOps CI/CD (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Jenkins).
  • ΠœΠ³Π½ΠΎΠ²Π΅Π½Π½Ρ‹ΠΉ доступ ΠΊ PKI ΠΈ слуТбам сСртификации ΠΏΠΎ всСму стСку ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (Π²Ρ‹Π΄Π°Ρ‡Π° сСртификатов Π² Ρ‚Π΅Ρ‡Π΅Π½ΠΈΠ΅ Π΄Π²ΡƒΡ… сСкунд)
  • Бтандартизация инфраструктуры ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ с Π³ΠΎΡ‚ΠΎΠ²Ρ‹Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ ΠΏΠΎ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ с ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ°ΠΌΠΈ оркСстровки ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², управлСния сСкрСтами ΠΈ Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅). ΠžΠ±Ρ‰Π°Ρ схСма Π²Ρ‹Π΄Π°Ρ‡ΠΈ сСртификатов ΠΏΠΎΠΊΠ°Π·Π°Π½Π° Π½Π° ΠΈΠ»Π»ΡŽΡΡ‚Ρ€Π°Ρ†ΠΈΠΈ Π½ΠΈΠΆΠ΅.

    ΠŸΠΎΠΌΠΎΡ‰ΡŒ дСвопсам ΠΏΠΎ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΡŽ PKI
    Π‘Ρ…Π΅ΠΌΠ° Π²Ρ‹Π΄Π°Ρ‡ΠΈ сСртификатов Ρ‡Π΅Ρ€Π΅Π· HashiCorp Vault, Venafi Cloud ΠΈ GlobalSign. На схСмС CSR ΠΎΠ·Π½Π°Ρ‡Π°Π΅Ρ‚ «запрос Π½Π° подпись сСртификата» (Certificate Signing Request)

  • Высокая пропускная ΡΠΏΠΎΡΠΎΠ±Π½ΠΎΡΡ‚ΡŒ ΠΈ надёТная инфраструктура PKI для динамичСских, сильно ΠΌΠ°ΡΡˆΡ‚Π°Π±ΠΈΡ€ΡƒΠ΅ΠΌΡ‹Ρ… срСд
  • ИспользованиС Π³Ρ€ΡƒΠΏΠΏ бСзопасности Ρ‡Π΅Ρ€Π΅Π· ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ ΠΈ Π²ΠΈΠ΄ΠΈΠΌΠΎΡΡ‚ΡŒ Π²Ρ‹Π΄Π°Π½Π½Ρ‹Ρ… сСртификатов

ΠŸΠΎΠ΄ΠΎΠ±Π½Ρ‹ΠΉ ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ позволяСт ΠΎΡ€Π³Π°Π½ΠΈΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π½Π°Π΄Ρ‘ΠΆΠ½ΡƒΡŽ систСму, Π½Π΅ Π±ΡƒΠ΄ΡƒΡ‡ΠΈ экспСртом Π² ΠΊΡ€ΠΈΠΏΡ‚ΠΎΠ³Ρ€Π°Ρ„ΠΈΠΈ ΠΈ PKI.

ΠŸΠΎΠΌΠΎΡ‰ΡŒ дСвопсам ΠΏΠΎ Π²Π½Π΅Π΄Ρ€Π΅Π½ΠΈΡŽ PKI
Venafi Secrets Engine

Venafi Π΄Π°ΠΆΠ΅ увСряСт, Ρ‡Ρ‚ΠΎ Π² ΠΊΠΎΠ½Π΅Ρ‡Π½ΠΎΠΌ ΠΈΡ‚ΠΎΠ³Π΅ это Π±ΠΎΠ»Π΅Π΅ экономичноС Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅, ΠΏΠΎΡΠΊΠΎΠ»ΡŒΠΊΡƒ Π½Π΅ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ привлСчСния высокооплачиваСмых спСциалистов ΠΏΠΎ PKI ΠΈ расходов Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΡƒ.

РСшСниС ΠΏΠΎΠ»Π½ΠΎΡΡ‚ΡŒΡŽ интСгрируСтся Π² ΡΡƒΡ‰Π΅ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠΉ ΠΊΠΎΠ½Π²Π΅ΠΉΠ΅Ρ€ CI/CD ΠΈ ΠΏΠΎΠΊΡ€Ρ‹Π²Π°Π΅Ρ‚ всС потрСбности ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ Π² сСртификатах. Π’Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ ΠΈ дСвопсы ΠΌΠΎΠ³ΡƒΡ‚ Ρ€Π°Π±ΠΎΡ‚Π°Ρ‚ΡŒ быстрСС ΠΈ Π½Π΅ Ρ€Π°Π·Π±ΠΈΡ€Π°Ρ‚ΡŒΡΡ с Ρ‚Ρ€ΡƒΠ΄Π½Ρ‹ΠΌΠΈ криптографичСскими вопросами.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com

Π”ΠΎΠ±Π°Π²ΠΈΡ‚ΡŒ ΠΊΠΎΠΌΠΌΠ΅Π½Ρ‚Π°Ρ€ΠΈΠΉ