Els desenvolupadors ja tenen molta feina per fer i també se'ls requereix que tinguin coneixements experts en criptografia i infraestructura de clau pública (PKI). No és correcte.
De fet, cada màquina ha de tenir un certificat TLS vàlid. Són necessaris per a servidors, contenidors, màquines virtuals i malles de servei. Però el nombre de claus i certificats creix com una bola de neu, i la gestió es torna ràpidament caòtica, cara i arriscada si ho fas tot tu mateix. Sense bones pràctiques d'aplicació de polítiques i de supervisió, les empreses poden patir a causa de certificats febles o caducitats inesperades.
GlobalSign i Venafi van organitzar dos webcasts per ajudar els devops.
Els principals problemes dels processos de gestió de certificats existents són causats per un gran nombre de procediments:
- Generació de certificats autofirmats a OpenSSL.
- Treballeu amb diverses instàncies de HashiCorp Vault per gestionar certificats de CA privada o autofirmats.
- Registre de sol·licituds de certificats de confiança.
- Ús de certificats de proveïdors de núvols públics.
- Automatitzeu la renovació del certificat Let's Encrypt
- Escrivint els teus propis guions
- Autoconfiguració d'eines DevOps com Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Tots els procediments augmenten el risc d'error i requereixen temps. Venafi està intentant resoldre aquests problemes i facilitar la vida als devops.
La demostració de GlobalSign i Venafi consta de dues seccions. Primer, com configurar Venafi Cloud i GlobalSign PKI. A continuació, com utilitzar-lo per sol·licitar certificats segons les polítiques establertes, utilitzant eines conegudes.
Temes clau:
- Automatització de l'emissió de certificats dins de les metodologies DevOps CI/CD existents (per exemple, Jenkins).
- Accés instantani a PKI i serveis de certificats a tota la pila d'aplicacions (emissió de certificats en dos segons)
- Estandardització de la infraestructura de clau pública amb solucions ja fetes per a la integració amb plataformes d'orquestració de contenidors, gestió de secrets i automatització (per exemple, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack i altres). L'esquema general d'emissió de certificats es mostra a la il·lustració següent.
Esquema d'emissió de certificats mitjançant HashiCorp Vault, Venafi Cloud i GlobalSign. Al diagrama, CSR significa sol·licitud de signatura de certificat. - Infraestructura PKI d'alt rendiment i fiable per a entorns dinàmics i altament escalables
- Ús de grups de seguretat mitjançant polítiques i visibilitat dels certificats emesos
Aquest enfocament us permet organitzar un sistema fiable sense ser un expert en criptografia i PKI.
Venafi fins i tot afirma que és una solució més rendible a llarg termini, ja que no requereix la participació d'especialistes PKI molt ben pagats i costos de suport.
La solució està totalment integrada al pipeline CI/CD existent i cobreix totes les necessitats de certificat de l'empresa. D'aquesta manera, els desenvolupadors i els devops poden treballar més ràpidament sense haver de fer front a problemes criptogràfics difícils.
Font: www.habr.com