توسعه دهندگان در حال حاضر کارهای زیادی برای انجام دارند و همچنین باید دانش تخصصی رمزنگاری و زیرساخت کلید عمومی (PKI) داشته باشند. درست نیست.
در واقع، هر ماشینی باید گواهی معتبر TLS داشته باشد. آنها برای سرورها، کانتینرها، ماشین های مجازی و مش های سرویس مورد نیاز هستند. اما تعداد کلیدها و گواهینامه ها مانند یک گلوله برفی افزایش می یابد و اگر همه کارها را خودتان انجام دهید، مدیریت به سرعت آشفته، پرهزینه و مخاطره آمیز می شود. بدون اعمال خوب سیاست و اعمال نظارت، کسب و کارها می توانند به دلیل گواهینامه های ضعیف یا انقضای غیرمنتظره آسیب ببینند.
GlobalSign و Venafi دو پخش اینترنتی برای کمک به توسعه دهندگان ترتیب دادند.
مشکلات اصلی فرآیندهای مدیریت گواهی موجود توسط تعداد زیادی از رویه ها ایجاد می شود:
- تولید گواهینامه های خودامضا در OpenSSL.
- با چندین نمونه HashiCorp Vault برای مدیریت CA خصوصی یا گواهیهای خودامضا کار کنید.
- ثبت درخواست برای گواهی های قابل اعتماد.
- استفاده از گواهینامه های ارائه دهندگان ابر عمومی.
- تمدید گواهینامه Let's Encrypt را خودکار کنید
- نوشتن فیلمنامه های خود
- خود پیکربندی ابزارهای DevOps مانند Red Hat Ansible، Kubernetes، Pivotal Cloud Foundry
همه روش ها خطر خطا را افزایش می دهند و زمان بر هستند. ونافی در تلاش است تا این مشکلات را حل کند و زندگی را برای دووپ آسان کند.
نسخه ی نمایشی GlobalSign و Venafi از دو بخش تشکیل شده است. ابتدا نحوه راه اندازی Venafi Cloud و GlobalSign PKI. سپس چگونه می توان از آن برای درخواست گواهینامه مطابق با سیاست های تعیین شده با استفاده از ابزارهای آشنا استفاده کرد.
موضوعات کلیدی:
- اتوماسیون صدور گواهی در متدولوژی های موجود DevOps CI/CD (به عنوان مثال، جنکینز).
- دسترسی فوری به خدمات PKI و گواهی در کل پشته برنامه (صدور گواهی در عرض دو ثانیه)
- استانداردسازی زیرساخت کلید عمومی با راه حل های آماده برای ادغام با کانتینر ارکستراسیون، مدیریت اسرار و پلت فرم های اتوماسیون (به عنوان مثال، Kubernetes، OpenShift، Terraform، HashiCorp Vault، Ansible، SaltStack و دیگران). طرح کلی برای صدور گواهینامه در تصویر زیر نشان داده شده است.
طرحی برای صدور گواهی از طریق HashiCorp Vault، Venafi Cloud و GlobalSign. در نمودار، CSR مخفف عبارت Certificate Signing Request است. - توان عملیاتی بالا و زیرساخت PKI قابل اعتماد برای محیط های پویا و بسیار مقیاس پذیر
- استفاده از گروه های امنیتی از طریق خط مشی ها و مشاهده گواهی های صادر شده
این رویکرد به شما این امکان را می دهد که بدون متخصص در رمزنگاری و PKI یک سیستم قابل اعتماد سازماندهی کنید.
Venafi حتی ادعا میکند که این راهحل مقرونبهصرفهتر در دراز مدت است، زیرا نیازی به مشارکت متخصصان PKI با دستمزد بالا و هزینههای پشتیبانی ندارد.
این راه حل به طور کامل در خط لوله CI/CD موجود ادغام شده است و تمام نیازهای گواهینامه شرکت را پوشش می دهد. به این ترتیب، توسعه دهندگان و توسعه دهندگان می توانند بدون نیاز به مقابله با مسائل رمزنگاری دشوار، سریعتر کار کنند.
منبع: www.habr.com