Razvijači već imaju dosta posla, a od njih se traži i stručno znanje o kriptografiji i infrastrukturi javnih ključeva (PKI). To nije u redu.
Zaista, svaka mašina mora imati važeći TLS certifikat. Potrebni su za servere, kontejnere, virtuelne mašine i u servisnim mrežama. Ali broj ključeva i certifikata raste kao grudva snijega, a upravljanje brzo postaje haotično, skupo i rizično ako sve radite sami. Bez dobre prakse sprovođenja politike i praćenja, preduzeća mogu patiti zbog slabih sertifikata ili neočekivanog isteka.
GlobalSign i Venafi su organizirali dva webcasta kako bi pomogli devops-u.
Glavni problemi postojećih procesa upravljanja certifikatima uzrokovani su velikim brojem procedura:
- Generiranje samopotpisanih certifikata u OpenSSL-u.
- Radite s više HashiCorp Vault instanci za upravljanje privatnim CA ili samopotpisanim certifikatima.
- Registracija aplikacija za pouzdane sertifikate.
- Korištenje certifikata javnih cloud provajdera.
- Automatizacija obnove certifikata Let's Encrypt
- Pisanje sopstvenih scenarija
- Samokonfiguracija DevOps alata kao što su Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Svi postupci povećavaju rizik od greške i oduzimaju mnogo vremena. Venafi pokušava riješiti ove probleme i olakšati život devopsima.
GlobalSign i Venafi demo se sastoji od dva dijela. Prvo, kako postaviti Venafi Cloud i GlobalSign PKI. Zatim kako ga koristiti za traženje certifikata prema utvrđenim politikama, koristeći poznate alate.
Ključne teme:
- Automatizacija izdavanja sertifikata u okviru postojećih DevOps CI/CD metodologija (na primer, Jenkins).
- Trenutni pristup PKI-u i servisima certifikata u cijelom aplikacijskom stogu (izdavanje certifikata u roku od dvije sekunde)
- Standardizacija infrastrukture javnih ključeva sa gotovim rešenjima za integraciju sa orkestracijom kontejnera, platformama za upravljanje tajnama i automatizacijom (na primer, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack i drugi). Opća šema za izdavanje certifikata prikazana je na donjoj slici.
Šema za izdavanje sertifikata preko HashiCorp Vault-a, Venafi Cloud-a i GlobalSign-a. U dijagramu, CSR označava zahtjev za potpisivanje certifikata. - Visoka propusnost i pouzdana PKI infrastruktura za dinamična, visoko skalabilna okruženja
- Korištenje sigurnosnih grupa kroz politike i vidljivost izdatih certifikata
Ovaj pristup vam omogućava da organizujete pouzdan sistem bez da ste stručnjak za kriptografiju i PKI.
Venafi čak tvrdi da je to dugoročno isplativije rješenje, jer ne zahtijeva uključivanje visoko plaćenih PKI stručnjaka i troškove podrške.
Rešenje je u potpunosti integrisano u postojeći CI/CD kanal i pokriva sve potrebe kompanije za sertifikatom. Na ovaj način, programeri i devops mogu raditi brže bez potrebe da se bave teškim kriptografskim problemima.
izvor: www.habr.com