Venafi võtmeintegratsioonid
Arendajatel on juba palju tööd teha ning neilt nõutakse ka ekspertteadmisi krüptograafia ja avaliku võtme infrastruktuuri (PKI) alal. See ei ole õige.
Tõepoolest, igal masinal peab olema kehtiv TLS-sertifikaat. Neid on vaja serverite, konteinerite, virtuaalmasinate ja teenindusvõrkude jaoks. Aga võtmete ja sertifikaatide hulk kasvab nagu lumepall ning juhtimine muutub kiiresti kaootiliseks, kulukaks ja riskantseks, kui kõike ise teha. Ilma heade poliitika jõustamis- ja järelevalvetavadeta võivad ettevõtted nõrkade sertifikaatide või ootamatute aegumiste tõttu kannatada.
GlobalSign ja Venafi korraldasid kaks veebiülekannet, et aidata arendajaid. , ja teine - koos PKI-süsteemi ühendamiseks GlobalSignist Venafi pilve kaudu, kasutades avatud lähtekoodiga tööriistu HashiCorp Vaulti kaudu Jenkinsi CI/CD torujuhtmest.
Olemasolevate sertifikaadihaldusprotsesside peamised probleemid on põhjustatud paljudest protseduuridest:
- Iseallkirjastatud sertifikaatide genereerimine OpenSSL-is.
- Töötage mitme HashiCorp Vaulti eksemplariga, et hallata privaatseid CA-d või iseallkirjastatud sertifikaate.
- Usaldusväärsete sertifikaatide taotluste registreerimine.
- Avalike pilveteenuse pakkujate sertifikaatide kasutamine.
- Sertifikaatide uuendamise automatiseerimine Let's Encrypt
- Oma stsenaariumide kirjutamine
- DevOpsi tööriistade, nagu Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry, isekonfigureerimine
Kõik protseduurid suurendavad veaohtu ja on aeganõudvad. Venafi püüab neid probleeme lahendada ja devopide elu lihtsamaks muuta.
GlobalSigni ja Venafi demo koosneb kahest osast. Esiteks, kuidas seadistada Venafi Cloud ja GlobalSign PKI. Seejärel kuidas seda kasutada sertifikaatide taotlemiseks vastavalt kehtestatud poliitikatele, kasutades tuttavaid tööriistu.
Põhiteemad:
- Sertifikaatide väljastamise automatiseerimine olemasolevate DevOps CI/CD metoodikate raames (näiteks Jenkins).
- Kohene juurdepääs PKI-le ja sertifikaaditeenustele kogu rakenduste virna ulatuses (sertifikaatide väljastamine kahe sekundi jooksul)
- Avaliku võtme infrastruktuuri standardimine valmislahendustega integreerimiseks konteinerite orkestreerimise, saladuste halduse ja automatiseerimisplatvormidega (näiteks Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack jt). Sertifikaatide väljaandmise üldine skeem on näidatud alloleval joonisel.
Sertifikaatide väljastamise skeem HashiCorp Vaulti, Venafi Cloudi ja GlobalSigni kaudu. Diagrammil tähistab CSR sertifikaadi allkirjastamise taotlust. - Suur läbilaskevõime ja usaldusväärne PKI infrastruktuur dünaamiliste ja hästi skaleeritavate keskkondade jaoks
- Turvarühmade kasutamine poliitikate ja väljastatud sertifikaatide nähtavuse kaudu
See lähenemine võimaldab teil organiseerida usaldusväärse süsteemi, olemata krüptograafia ja PKI ekspert.
Venafi saladuste mootor
Venafi väidab isegi, et see on pikas perspektiivis kuluefektiivsem lahendus, kuna see ei nõua kõrgelt tasustatud PKI spetsialistide kaasamist ja tugikulusid.
Lahendus on täielikult integreeritud olemasolevasse CI/CD torujuhtmesse ja katab kõik ettevõtte sertifikaadivajadused. Nii saavad arendajad ja devopid töötada kiiremini, ilma et peaksid tegelema keeruliste krüptoprobleemidega.
Allikas: www.habr.com