Βενάφη Key Integrations
Οι προγραμματιστές έχουν ήδη πολλή δουλειά να κάνουν και πρέπει επίσης να έχουν εξειδικευμένες γνώσεις κρυπτογραφίας και υποδομής δημόσιου κλειδιού (PKI). Δεν είναι σωστό.
Πράγματι, κάθε μηχάνημα πρέπει να διαθέτει έγκυρο πιστοποιητικό TLS. Απαιτούνται για διακομιστές, κοντέινερ, εικονικές μηχανές και σε πλέγματα υπηρεσιών. Αλλά ο αριθμός των κλειδιών και των πιστοποιητικών μεγαλώνει σαν χιονόμπαλα και η διαχείριση γίνεται γρήγορα χαοτική, ακριβή και επικίνδυνη αν τα κάνετε όλα μόνοι σας. Χωρίς καλές πρακτικές επιβολής πολιτικής και παρακολούθησης, οι επιχειρήσεις μπορεί να υποφέρουν λόγω αδύναμων πιστοποιητικών ή απροσδόκητων λήξεων.
Η GlobalSign και η Venafi οργάνωσαν δύο διαδικτυακές εκπομπές για να βοηθήσουν το devops. , και το δεύτερο - με για να συνδέσετε το σύστημα PKI από την GlobalSign μέσω του νέφους Venafi χρησιμοποιώντας εργαλεία ανοιχτού κώδικα μέσω του HashiCorp Vault από τον αγωγό Jenkins CI/CD.
Τα κύρια προβλήματα των υφιστάμενων διαδικασιών διαχείρισης πιστοποιητικών προκαλούνται από έναν μεγάλο αριθμό διαδικασιών:
- Δημιουργία αυτο-υπογεγραμμένων πιστοποιητικών στο OpenSSL.
- Εργαστείτε με πολλές παρουσίες HashiCorp Vault για τη διαχείριση ιδιωτικών πιστοποιητικών CA ή αυτουπογεγραμμένων πιστοποιητικών.
- Καταχώρηση αιτήσεων για αξιόπιστα πιστοποιητικά.
- Χρήση πιστοποιητικών από δημόσιους παρόχους cloud.
- Αυτοματοποιήστε την ανανέωση πιστοποιητικού Let's Encrypt
- Γράφοντας τα δικά σας σενάρια
- Αυτοδιαμόρφωση εργαλείων DevOps όπως Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Όλες οι διαδικασίες αυξάνουν τον κίνδυνο λάθους και είναι χρονοβόρες. Η Βενάφη προσπαθεί να λύσει αυτά τα προβλήματα και να κάνει τη ζωή πιο εύκολη για τους devops.
Το demo του GlobalSign και του Venafi αποτελείται από δύο ενότητες. Πρώτον, πώς να ρυθμίσετε το Venafi Cloud και το GlobalSign PKI. Στη συνέχεια, πώς να το χρησιμοποιήσετε για να ζητήσετε πιστοποιητικά σύμφωνα με τις καθιερωμένες πολιτικές, χρησιμοποιώντας γνωστά εργαλεία.
Βασικά θέματα:
- Αυτοματοποίηση έκδοσης πιστοποιητικών εντός των υπαρχουσών μεθοδολογιών CI/CD DevOps (για παράδειγμα, Jenkins).
- Άμεση πρόσβαση σε υπηρεσίες PKI και πιστοποιητικών σε ολόκληρη τη στοίβα εφαρμογών (έκδοση πιστοποιητικών εντός δύο δευτερολέπτων)
- Τυποποίηση υποδομής δημόσιου κλειδιού με έτοιμες λύσεις για ενοποίηση με πλατφόρμες ενορχήστρωσης κοντέινερ, διαχείρισης μυστικών και αυτοματισμού (π.χ. Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack και άλλες). Το γενικό σχήμα για την έκδοση πιστοποιητικών φαίνεται στην παρακάτω εικόνα.
Σχέδιο έκδοσης πιστοποιητικών μέσω HashiCorp Vault, Venafi Cloud και GlobalSign. Στο διάγραμμα, το CSR σημαίνει Αίτημα υπογραφής πιστοποιητικού. - Υψηλή απόδοση και αξιόπιστη υποδομή PKI για δυναμικά περιβάλλοντα υψηλής κλιμάκωσης
- Χρήση ομάδων ασφαλείας μέσω πολιτικών και ορατότητας των εκδοθέντων πιστοποιητικών
Αυτή η προσέγγιση σας επιτρέπει να οργανώσετε ένα αξιόπιστο σύστημα χωρίς να είστε ειδικός στην κρυπτογραφία και το PKI.
Venafi Secrets Engine
Η Venafi ισχυρίζεται μάλιστα ότι είναι μια πιο οικονομική λύση μακροπρόθεσμα γιατί δεν απαιτεί υψηλά αμειβόμενους ειδικούς PKI και κόστος υποστήριξης.
Η λύση είναι πλήρως ενσωματωμένη στον υπάρχοντα αγωγό CI/CD και καλύπτει όλες τις ανάγκες πιστοποιητικών της εταιρείας. Με αυτόν τον τρόπο, οι προγραμματιστές και οι προγραμματιστές μπορούν να λειτουργούν πιο γρήγορα χωρίς να χρειάζεται να αντιμετωπίσουν δύσκολα ζητήματα κρυπτογράφησης.
Πηγή: www.habr.com