Devs jam havas multan laboron por fari, kaj ili ankaŭ devas havi spertajn scion pri kriptografio kaj publika ŝlosila infrastrukturo (PKI). Ĝi ne pravas.
Efektive, ĉiu maŝino devas havi validan TLS-atestilon. Ili estas bezonataj por serviloj, ujoj, virtualaj maŝinoj kaj en servaj retoj. Sed la nombro da ŝlosiloj kaj atestiloj kreskas kiel neĝbulo, kaj administrado rapide fariĝas kaosa, multekosta kaj riska se vi faras ĉion mem. Sen bonaj politikaj plenumado kaj monitoraj praktikoj, entreprenoj povas suferi pro malfortaj atestiloj aŭ neatenditaj eksvalidiĝoj.
GlobalSign kaj Venafi organizis du retelsendojn por helpi devopojn.
La ĉefaj problemoj de ekzistantaj atestiladministradprocezoj estas kaŭzitaj de granda nombro da proceduroj:
- Generante memsubskribitajn atestilojn en OpenSSL.
- Laboru kun pluraj okazoj de HashiCorp Vault por administri privatajn CA aŭ memsubskribitajn atestilojn.
- Registrado de aplikoj por fidindaj atestiloj.
- Uzante atestojn de publikaj nubaj provizantoj.
- Aŭtomatigi la renovigojn de atestiloj de Let's Encrypt
- Skribante viajn proprajn skriptojn
- Mem-agordo de DevOps-iloj kiel Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Ĉiuj proceduroj pliigas la riskon de eraro kaj estas tempopostulaj. Venafi provas solvi ĉi tiujn problemojn kaj faciligi la vivon al devopoj.
La demonstraĵo GlobalSign kaj Venafi konsistas el du sekcioj. Unue, kiel agordi Venafi Cloud kaj GlobalSign PKI. Tiam kiel uzi ĝin por peti atestojn laŭ establitaj politikoj, uzante konatajn ilojn.
Ĉefaj temoj:
- Aŭtomatigo de atestilo ene de ekzistantaj DevOps CI/CD-metodaroj (ekzemple, Jenkins).
- Tuja aliro al PKI kaj atestilservoj tra la tuta aplika stako (eldonado de atestiloj ene de du sekundoj)
- Normigado de publika ŝlosila infrastrukturo kun pretaj solvoj por integriĝo kun ujo-instrumentado, sekretadministrado kaj aŭtomatigaj platformoj (ekzemple, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack kaj aliaj). La ĝenerala skemo por eldonado de atestiloj estas montrita en la suba ilustraĵo.
Skemo por eldonado de atestiloj per HashiCorp Vault, Venafi Cloud kaj GlobalSign. En la diagramo, CSR signifas Peton pri Atestilo. - Alta trairo kaj fidinda PKI-infrastrukturo por dinamikaj, tre skaleblaj medioj
- Uzante sekurecajn grupojn per politikoj kaj videbleco de eldonitaj atestiloj
Ĉi tiu aliro permesas al vi organizi fidindan sistemon sen esti fakulo pri kriptografio kaj PKI.
Venafi eĉ asertas, ke ĝi estas pli kostefika solvo longtempe, ĉar ĝi ne postulas la implikiĝon de altpagitaj PKI-specialistoj kaj subtenkostoj.
La solvo estas plene integrita en la ekzistantan CI/KD-dukton kaj kovras ĉiujn atestilbezonojn de la firmao. Tiel, programistoj kaj devopoj povas labori pli rapide sen devi trakti malfacilajn kriptajn problemojn.
fonto: www.habr.com