Venafi-Schlüsselintegrationen
Entwickler haben bereits viel zu tun und müssen außerdem über Expertenwissen in den Bereichen Kryptographie und Public-Key-Infrastruktur (PKI) verfügen. Das ist nicht richtig.
Tatsächlich muss jede Maschine über ein gültiges TLS-Zertifikat verfügen. Sie werden für Server, Container, virtuelle Maschinen und in Service Meshes benötigt. Doch die Anzahl der Schlüssel und Zertifikate wächst wie ein Schneeball und die Verwaltung wird schnell chaotisch, teuer und riskant, wenn man alles selbst macht. Ohne gute Richtliniendurchsetzungs- und Überwachungspraktiken können Unternehmen unter schwachen Zertifikaten oder unerwarteten Abläufen leiden.
GlobalSign und Venafi organisierten zwei Webcasts, um Entwicklern zu helfen. , und der zweite - mit das PKI-System von GlobalSign über die Venafi-Cloud mit Open-Source-Tools über HashiCorp Vault aus der Jenkins CI/CD-Pipeline anzubinden.
Die Hauptprobleme bestehender Zertifikatsmanagementprozesse werden durch eine Vielzahl von Verfahren verursacht:
- Generieren selbstsignierter Zertifikate in OpenSSL.
- Arbeiten Sie mit mehreren HashiCorp Vault-Instanzen, um private Zertifizierungsstellen oder selbstsignierte Zertifikate zu verwalten.
- Registrierung von Anträgen für vertrauenswürdige Zertifikate.
- Verwendung von Zertifikaten von öffentlichen Cloud-Anbietern.
- Automatisieren Sie die Erneuerung des Let's Encrypt-Zertifikats
- Schreiben Sie Ihre eigenen Skripte
- Selbstkonfiguration von DevOps-Tools wie Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Alle Verfahren erhöhen das Fehlerrisiko und sind zeitaufwändig. Venafi versucht, diese Probleme zu lösen und den Entwicklern das Leben zu erleichtern.
Die GlobalSign- und Venafi-Demo besteht aus zwei Abschnitten. Zunächst erfahren Sie, wie Sie Venafi Cloud und GlobalSign PKI einrichten. Anschließend erfahren Sie, wie Sie damit mithilfe vertrauter Tools Zertifikate gemäß festgelegten Richtlinien anfordern können.
Schlüsselthemen:
- Automatisierung der Zertifikatsausstellung innerhalb bestehender DevOps CI/CD-Methoden (z. B. Jenkins).
- Sofortiger Zugriff auf PKI- und Zertifikatsdienste im gesamten Anwendungsstapel (Ausstellung von Zertifikaten innerhalb von zwei Sekunden)
- Standardisierung der Public-Key-Infrastruktur mit vorgefertigten Lösungen für die Integration in Container-Orchestrierung, Secrets-Management und Automatisierungsplattformen (z. B. Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack und andere). Das allgemeine Schema zur Ausstellung von Zertifikaten ist in der folgenden Abbildung dargestellt.
Schema zur Ausstellung von Zertifikaten über HashiCorp Vault, Venafi Cloud und GlobalSign. Im Diagramm steht CSR für Certificate Signing Request. - Hoher Durchsatz und zuverlässige PKI-Infrastruktur für dynamische, hoch skalierbare Umgebungen
- Verwendung von Sicherheitsgruppen durch Richtlinien und Sichtbarkeit ausgestellter Zertifikate
Mit diesem Ansatz können Sie ein zuverlässiges System organisieren, ohne ein Experte für Kryptographie und PKI zu sein.
Venafi Secrets Engine
Venafi behauptet sogar, dass es sich auf lange Sicht um eine kostengünstigere Lösung handelt, da keine hochbezahlten PKI-Spezialisten und keine Supportkosten erforderlich sind.
Die Lösung ist vollständig in die bestehende CI/CD-Pipeline integriert und deckt alle Zertifikatsbedürfnisse des Unternehmens ab. Auf diese Weise können Entwickler und Entwickler schneller arbeiten, ohne sich mit schwierigen kryptografischen Problemen auseinandersetzen zu müssen.
Source: habr.com