Udviklere har allerede meget arbejde at gøre, og de skal også have ekspertviden om kryptografi og offentlig nøgleinfrastruktur (PKI). Det er ikke rigtigt.
Faktisk skal hver maskine have et gyldigt TLS-certifikat. De er nødvendige til servere, containere, virtuelle maskiner og i servicemasker. Men antallet af nøgler og certifikater vokser som en snebold, og ledelsen bliver hurtigt kaotisk, dyr og risikabel, hvis man gør alting selv. Uden god politikhåndhævelse og overvågningspraksis kan virksomheder lide på grund af svage certifikater eller uventede udløb.
GlobalSign og Venafi organiserede to webcasts for at hjælpe devops.
De vigtigste problemer med eksisterende certifikathåndteringsprocesser er forårsaget af et stort antal procedurer:
- Generering af selvsignerede certifikater i OpenSSL.
- Arbejd med flere HashiCorp Vault-instanser for at administrere private CA eller selvsignerede certifikater.
- Registrering af ansøgninger om betroede certifikater.
- Brug af certifikater fra offentlige cloud-udbydere.
- Automatisering af Let's Encrypt-certifikatfornyelser
- At skrive dine egne manuskripter
- Selvkonfiguration af DevOps-værktøjer som Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Alle procedurer øger risikoen for fejl og er tidskrævende. Venafi forsøger at løse disse problemer og gøre livet lettere for devops.
GlobalSign og Venafi-demoen består af to sektioner. Først hvordan man opsætter Venafi Cloud og GlobalSign PKI. Så hvordan man bruger det til at anmode om certifikater i henhold til etablerede politikker ved hjælp af velkendte værktøjer.
Nøgleemner:
- Automatisering af certifikatudstedelse inden for eksisterende DevOps CI/CD-metoder (f.eks. Jenkins).
- Øjeblikkelig adgang til PKI og certifikattjenester på tværs af hele applikationsstakken (udstedelse af certifikater inden for to sekunder)
- Standardisering af offentlig nøgleinfrastruktur med færdige løsninger til integration med containerorkestrering, hemmelighedshåndtering og automatiseringsplatforme (for eksempel Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack og andre). Den generelle ordning for udstedelse af certifikater er vist i illustrationen nedenfor.
Ordning for udstedelse af certifikater gennem HashiCorp Vault, Venafi Cloud og GlobalSign. I diagrammet står CSR for Certificate Signing Request. - Høj gennemstrømning og pålidelig PKI-infrastruktur til dynamiske, meget skalerbare miljøer
- Brug af sikkerhedsgrupper gennem politikker og synlighed af udstedte certifikater
Denne tilgang giver dig mulighed for at organisere et pålideligt system uden at være ekspert i kryptografi og PKI.
Venafi hævder endda, at det er en mere omkostningseffektiv løsning i det lange løb, da det ikke kræver involvering af højt betalte PKI-specialister og supportomkostninger.
Løsningen er fuldt integreret i den eksisterende CI/CD pipeline og dækker alle virksomhedens certifikatbehov. På denne måde kan udviklere og devops arbejde hurtigere uden at skulle håndtere vanskelige kryptografiske problemer.
Kilde: www.habr.com