ProHoster > وبلاگ > اداره > کمک به devops پیاده سازی PKI

کمک به devops پیاده سازی PKI

کمک به devops پیاده سازی PKI
ادغام کلید Venafi

توسعه دهندگان در حال حاضر کارهای زیادی برای انجام دارند و همچنین باید دانش تخصصی رمزنگاری و زیرساخت کلید عمومی (PKI) داشته باشند. درست نیست.

در واقع، هر ماشینی باید گواهی معتبر TLS داشته باشد. آنها برای سرورها، کانتینرها، ماشین های مجازی و مش های سرویس مورد نیاز هستند. اما تعداد کلیدها و گواهینامه ها مانند یک گلوله برفی افزایش می یابد و اگر همه کارها را خودتان انجام دهید، مدیریت به سرعت آشفته، پرهزینه و مخاطره آمیز می شود. بدون اعمال خوب سیاست و اعمال نظارت، کسب و کارها می توانند به دلیل گواهینامه های ضعیف یا انقضای غیرمنتظره آسیب ببینند.

GlobalSign و Venafi دو پخش اینترنتی برای کمک به توسعه دهندگان ترتیب دادند. مورد اول مقدماتی است، و دوم - با مشاوره فنی خاص تر برای اتصال سیستم PKI از GlobalSign از طریق ابر Venafi با استفاده از ابزارهای منبع باز از طریق HashiCorp Vault از خط لوله Jenkins CI/CD.

مشکلات اصلی فرآیندهای مدیریت گواهی موجود توسط تعداد زیادی از رویه ها ایجاد می شود:

  • تولید گواهینامه های خودامضا در OpenSSL.
  • با چندین نمونه HashiCorp Vault برای مدیریت CA خصوصی یا گواهی‌های خودامضا کار کنید.
  • ثبت درخواست برای گواهی های قابل اعتماد.
  • استفاده از گواهینامه های ارائه دهندگان ابر عمومی.
  • تمدید گواهینامه Let's Encrypt را خودکار کنید
  • نوشتن فیلمنامه های خود
  • خود پیکربندی ابزارهای DevOps مانند Red Hat Ansible، Kubernetes، Pivotal Cloud Foundry

همه روش ها خطر خطا را افزایش می دهند و زمان بر هستند. ونافی در تلاش است تا این مشکلات را حل کند و زندگی را برای دووپ آسان کند.

کمک به devops پیاده سازی PKI

نسخه ی نمایشی GlobalSign و Venafi از دو بخش تشکیل شده است. ابتدا نحوه راه اندازی Venafi Cloud و GlobalSign PKI. سپس چگونه می توان از آن برای درخواست گواهینامه مطابق با سیاست های تعیین شده با استفاده از ابزارهای آشنا استفاده کرد.

موضوعات کلیدی:

  • اتوماسیون صدور گواهی در متدولوژی های موجود DevOps CI/CD (به عنوان مثال، جنکینز).
  • دسترسی فوری به خدمات PKI و گواهی در کل پشته برنامه (صدور گواهی در عرض دو ثانیه)
  • استانداردسازی زیرساخت کلید عمومی با راه حل های آماده برای ادغام با کانتینر ارکستراسیون، مدیریت اسرار و پلت فرم های اتوماسیون (به عنوان مثال، Kubernetes، OpenShift، Terraform، HashiCorp Vault، Ansible، SaltStack و دیگران). طرح کلی برای صدور گواهینامه در تصویر زیر نشان داده شده است.

    کمک به devops پیاده سازی PKI
    طرحی برای صدور گواهی از طریق HashiCorp Vault، Venafi Cloud و GlobalSign. در نمودار، CSR مخفف عبارت Certificate Signing Request است.

  • توان عملیاتی بالا و زیرساخت PKI قابل اعتماد برای محیط های پویا و بسیار مقیاس پذیر
  • استفاده از گروه های امنیتی از طریق خط مشی ها و مشاهده گواهی های صادر شده

این رویکرد به شما این امکان را می دهد که بدون متخصص در رمزنگاری و PKI یک سیستم قابل اعتماد سازماندهی کنید.

کمک به devops پیاده سازی PKI
موتور اسرار ونافی

Venafi حتی ادعا می‌کند که این راه‌حل مقرون‌به‌صرفه‌تر در دراز مدت است، زیرا نیازی به مشارکت متخصصان PKI با دستمزد بالا و هزینه‌های پشتیبانی ندارد.

این راه حل به طور کامل در خط لوله CI/CD موجود ادغام شده است و تمام نیازهای گواهینامه شرکت را پوشش می دهد. به این ترتیب، توسعه دهندگان و توسعه دهندگان می توانند بدون نیاز به مقابله با مسائل رمزنگاری دشوار، سریعتر کار کنند.

منبع: www.habr.com

اضافه کردن نظر