Venafi Key Integrations
Garatzaileek dagoeneko lan asko dute egiteko, eta kriptografian eta gako publikoen azpiegituran (PKI) ezagutza adituak ere behar dituzte. Ez da zuzena.
Izan ere, makina bakoitzak baliozko TLS ziurtagiria izan behar du. Zerbitzarietarako, edukiontzietarako, makina birtualetarako eta zerbitzu-sareetarako behar dira. Baina giltza eta ziurtagiri kopurua elur-bola bat bezala hazten da, eta kudeaketa azkar bihurtzen da kaotikoa, garestia eta arriskutsua dena zeuk egiten baduzu. Politikak betearazteko eta kontrolatzeko jardunbide egokirik gabe, enpresek jasan ditzakete ziurtagiri ahulak edo ustekabeko iraungitzeengatik.
GlobalSign eta Venafi-k bi webcast antolatu zituzten devopei laguntzeko. , eta bigarrena -rekin PKI sistema GlobalSign-etik Venafi hodeiaren bidez konektatzeko, Jenkins CI/CD kanalizazioko HashiCorp Vault bidez kode irekiko tresnak erabiliz.
Dauden ziurtagiriak kudeatzeko prozesuen arazo nagusiak prozedura ugarik eragiten dituzte:
- Norberak sinatutako ziurtagiriak sortzea OpenSSLn.
- Lan egin HashiCorp Vault instantzia anitzekin CA pribatuak edo norberak sinatutako ziurtagiriak kudeatzeko.
- Ziurtagiri fidagarrien eskaerak erregistratzea.
- Hodei publikoko hornitzaileen ziurtagiriak erabiltzea.
- Automatizatu Let's Encrypt ziurtagiriaren berritzea
- Zure gidoiak idaztea
- Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry bezalako DevOps tresnen autokonfigurazioa
Prozedura guztiek errore-arriskua areagotzen dute eta denbora asko eskatzen dute. Venafi arazo horiek konpontzen eta devopei bizitza errazten saiatzen ari da.
GlobalSign eta Venafi demoak bi atal ditu. Lehenik eta behin, nola konfiguratu Venafi Cloud eta GlobalSign PKI. Ondoren, nola erabili ezarritako politiken arabera ziurtagiriak eskatzeko, tresna ezagunak erabiliz.
Gai nagusiak:
- Dauden DevOps CI/CD metodologien barruan (adibidez, Jenkins) ziurtagirien igorpena automatizatzea.
- PKI eta ziurtagiri zerbitzuetarako berehalako sarbidea aplikazio-pila osoan zehar (ziurtagiriak bi segundotan igorriz)
- Gako publikoaren azpiegitura estandarizazioa edukiontzien orkestrazio, sekretuen kudeaketa eta automatizazio plataformekin integratzeko prest dauden soluzioekin (adibidez, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack eta beste batzuk). Ziurtagiriak emateko eskema orokorra beheko irudian ageri da.
HashiCorp Vault, Venafi Cloud eta GlobalSign bidez ziurtagiriak emateko eskema. Diagraman, CSR ziurtagiria sinatzeko eskaera da. - Errendimendu handiko eta PKI azpiegitura fidagarria ingurune dinamiko eta eskalagarrietarako
- Segurtasun-taldeak erabiltzea jaulkitako ziurtagirien politiken eta ikusgarritasunaren bidez
Ikuspegi honek sistema fidagarri bat antolatzeko aukera ematen du kriptografian eta PKIn aditua izan gabe.
Venafi Secrets Engine
Venafi-k epe luzera konponbide errentagarriagoa dela ere dio, ez baitu oso ordaindutako PKI espezialisten eta laguntza-kostuen inplikaziorik behar.
Irtenbidea lehendik dagoen CI/CD kanalizazioan guztiz integratuta dago eta konpainiaren ziurtagiri-behar guztiak estaltzen ditu. Horrela, garatzaileek eta devopeek azkarrago lan egin dezakete arazo kriptografiko zailekin aurre egin beharrik gabe.
Iturria: www.habr.com