Vývojáři už mají za sebou spoustu práce a také se od nich vyžaduje, aby měli odborné znalosti kryptografie a infrastruktury veřejných klíčů (PKI). Není to správné.
Každý počítač musí mít platný certifikát TLS. Jsou potřebné pro servery, kontejnery, virtuální stroje a v servisních sítích. Ale počet klíčů a certifikátů roste jako sněhová koule a řízení se rychle stává chaotickým, drahým a riskantním, pokud vše děláte sami. Bez dobrých praktik prosazování zásad a monitorování mohou podniky trpět kvůli slabým certifikátům nebo neočekávaným vypršením platnosti.
GlobalSign a Venafi uspořádali dvě webová vysílání na pomoc vývojářům.
Hlavní problémy stávajících procesů správy certifikátů jsou způsobeny velkým počtem procedur:
- Generování certifikátů s vlastním podpisem v OpenSSL.
- Pracujte s více instancemi HashiCorp Vault pro správu soukromých CA nebo certifikátů s vlastním podpisem.
- Registrace žádostí o důvěryhodné certifikáty.
- Používání certifikátů od poskytovatelů veřejného cloudu.
- Automatizujte obnovu certifikátu Let's Encrypt
- Psaní vlastních skriptů
- Vlastní konfigurace nástrojů DevOps, jako je Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Všechny postupy zvyšují riziko chyby a jsou časově náročné. Venafi se snaží tyto problémy vyřešit a usnadnit život devopsům.
GlobalSign a Venafi demo se skládá ze dvou částí. Nejprve, jak nastavit Venafi Cloud a GlobalSign PKI. Pak jak jej použít k vyžádání certifikátů podle zavedených zásad pomocí známých nástrojů.
Klíčová témata:
- Automatizace vydávání certifikátů v rámci stávajících metodik DevOps CI/CD (například Jenkins).
- Okamžitý přístup k PKI a certifikačním službám v celém zásobníku aplikací (vydání certifikátů do dvou sekund)
- Standardizace infrastruktury veřejných klíčů s hotovými řešeními pro integraci s orchestrací kontejnerů, správou tajemství a automatizačními platformami (například Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack a další). Obecné schéma pro vydávání certifikátů je znázorněno na obrázku níže.
Schéma pro vydávání certifikátů prostřednictvím HashiCorp Vault, Venafi Cloud a GlobalSign. V diagramu CSR znamená Certificate Signing Request. - Vysoká propustnost a spolehlivá infrastruktura PKI pro dynamická, vysoce škálovatelná prostředí
- Použití skupin zabezpečení prostřednictvím zásad a viditelnosti vydaných certifikátů
Tento přístup vám umožňuje zorganizovat spolehlivý systém, aniž byste byli expertem na kryptografii a PKI.
Venafi dokonce tvrdí, že je to z dlouhodobého hlediska nákladově efektivnější řešení, protože nevyžaduje zapojení vysoce placených specialistů PKI a náklady na podporu.
Řešení je plně integrováno do stávajícího CI/CD potrubí a pokrývá všechny potřeby certifikátů společnosti. Tímto způsobem mohou vývojáři a vývojáři pracovat rychleji, aniž by museli řešit složité kryptografické problémy.
Zdroj: www.habr.com