Los desarrolladores ya tienen mucho trabajo por hacer y también deben tener conocimientos expertos en criptografía e infraestructura de clave pública (PKI). No está bien.
De hecho, cada máquina debe tener un certificado TLS válido. Son necesarios para servidores, contenedores, máquinas virtuales y mallas de servicios. Pero el número de claves y certificados crece como una bola de nieve y la gestión rápidamente se vuelve caótica, costosa y arriesgada si lo hace todo usted mismo. Sin buenas prácticas de cumplimiento de políticas y monitoreo, las empresas pueden sufrir debido a certificados débiles o vencimientos inesperados.
GlobalSign y Venafi organizaron dos webcasts para ayudar a los desarrolladores.
Los principales problemas de los procesos de gestión de certificados existentes vienen provocados por una gran cantidad de procedimientos:
- Generación de certificados autofirmados en OpenSSL.
- Trabaje con múltiples instancias de HashiCorp Vault para administrar CA privada o certificados autofirmados.
- Registro de solicitudes de certificados de confianza.
- Utilizar certificados de proveedores de nube pública.
- Automatización de renovaciones de certificados Let's Encrypt
- Escribir tus propios guiones
- Autoconfiguración de herramientas DevOps como Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Todos los procedimientos aumentan el riesgo de error y requieren mucho tiempo. Venafi está intentando resolver estos problemas y hacer la vida más fácil a los desarrolladores.
La demostración de GlobalSign y Venafi consta de dos secciones. Primero, cómo configurar Venafi Cloud y GlobalSign PKI. Luego cómo utilizarlo para solicitar certificados según políticas establecidas, utilizando herramientas familiares.
Temas clave:
- Automatización de la emisión de certificados dentro de metodologías DevOps CI/CD existentes (por ejemplo, Jenkins).
- Acceso instantáneo a PKI y servicios de certificados en toda la pila de aplicaciones (emisión de certificados en dos segundos)
- Estandarización de la infraestructura de clave pública con soluciones listas para usar para la integración con plataformas de automatización, gestión de secretos y orquestación de contenedores (por ejemplo, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack y otros). El esquema general de emisión de certificados se muestra en la siguiente ilustración.
Esquema de emisión de certificados a través de HashiCorp Vault, Venafi Cloud y GlobalSign. En el diagrama, CSR significa Solicitud de firma de certificado. - Infraestructura PKI confiable y de alto rendimiento para entornos dinámicos y altamente escalables
- Uso de grupos de seguridad a través de políticas y visibilidad de los certificados emitidos
Este enfoque le permite organizar un sistema confiable sin ser un experto en criptografía y PKI.
Venafi incluso afirma que es una solución más rentable a largo plazo, ya que no requiere la participación de especialistas en PKI muy bien pagados ni costes de soporte.
La solución está completamente integrada en el proceso de CI/CD existente y cubre todas las necesidades de certificados de la empresa. De esta manera, los desarrolladores y devops pueden trabajar más rápido sin tener que lidiar con problemas criptográficos difíciles.
Fuente: habr.com