ProHoster > وبلاگ > اداره > کمک به devops پیاده سازی PKI

کمک به devops پیاده سازی PKI

کمک به devops پیاده سازی PKI
یکپارچه‌سازی‌های کلیدی ونافی

تیم‌های DevOps همین الان هم کلی کار برای انجام دادن دارند، و از آنها خواسته می‌شود که در رمزنگاری و زیرساخت کلید عمومی (PKI) هم متخصص باشند. این اشتباه است.

در واقع، هر دستگاهی باید یک گواهی TLS معتبر داشته باشد. این گواهی‌ها برای سرورها، کانتینرها، ماشین‌های مجازی و شبکه‌های مش سرویس مورد نیاز هستند. اما تعداد کلیدها و گواهی‌ها به صورت تصاعدی افزایش می‌یابد و مدیریت مستقل آنها به سرعت آشفته، پرهزینه و پرخطر می‌شود. بدون اجرای صحیح سیاست‌ها و شیوه‌های نظارتی، کسب‌وکارها می‌توانند از گواهی‌های ضعیف یا انقضاهای غیرمنتظره رنج ببرند.

گلوبال‌ساین و ونافی دو وبکست برای کمک به DevOps برگزار کردند. مورد اول مقدماتی است.و دومی - با توصیه‌های فنی خاص‌تر در مورد اتصال سیستم GlobalSign PKI از طریق فضای ابری Venafi با استفاده از ابزارهای متن‌باز از طریق HashiCorp Vault از خط لوله CI/CD جنکینز.

مشکلات اصلی فرآیندهای مدیریت گواهی موجود ناشی از تعداد زیاد رویه‌ها است:

  • تولید گواهی‌های خودامضا در OpenSSL
  • برای مدیریت گواهی‌نامه‌های خصوصی یا گواهی‌های خودامضا شده خود، با چندین نمونه HashiCorp Vault کار کنید.
  • ارسال درخواست برای گواهینامه‌های معتبر.
  • استفاده از گواهینامه‌های ارائه‌دهندگان خدمات ابری عمومی.
  • خودکارسازی تمدید گواهی Let’s Encrypt
  • نوشتن اسکریپت‌های خودتان
  • خودپیکربندی ابزارهای DevOps مانند Red Hat Ansible، Kubernetes و Pivotal Cloud Foundry

همه رویه‌ها خطر خطا را افزایش می‌دهند و زمان‌بر هستند. ونافی قصد دارد این مشکلات را برطرف کند و زندگی را برای DevOps آسان‌تر کند.

کمک به devops پیاده سازی PKI

نسخه آزمایشی GlobalSign و Venafi شامل دو بخش است. ابتدا، نحوه راه‌اندازی Venafi Cloud و GlobalSign PKI. سپس، نحوه استفاده از آن برای درخواست گواهینامه‌ها طبق سیاست‌های تعیین‌شده، با استفاده از ابزارهای آشنا.

مباحث کلیدی:

  • خودکارسازی صدور گواهی در شیوه‌های موجود DevOps CI/CD (مثلاً Jenkins).
  • دسترسی فوری به زیرساخت کلید عمومی (PKI) و سرویس‌های گواهی در کل پشته برنامه (صدور گواهی‌ها ظرف دو ثانیه)
  • استانداردسازی زیرساخت کلید عمومی با راهکارهای آماده برای ادغام با پلتفرم‌های هماهنگ‌سازی کانتینر، مدیریت اسرار و اتوماسیون (مانند Kubernetes، OpenShift، Terraform، HashiCorp Vault، Ansible، SaltStack و سایر موارد). جریان کلی صدور گواهی در تصویر زیر نشان داده شده است.

    کمک به devops پیاده سازی PKI
    طرح صدور گواهی از طریق HashiCorp Vault، Venafi Cloud و GlobalSign. در نمودار، CSR مخفف درخواست امضای گواهی است.

  • زیرساخت PKI با توان عملیاتی بالا و قابل اعتماد برای محیط‌های پویا و بسیار مقیاس‌پذیر
  • استفاده از گروه‌های امنیتی از طریق سیاست‌ها و قابلیت مشاهده گواهی‌های صادر شده

این رویکرد به شما امکان می‌دهد بدون نیاز به تخصص در رمزنگاری و PKI، یک سیستم قابل اعتماد سازماندهی کنید.

کمک به devops پیاده سازی PKI
موتور اسرار ونافی

ونافی حتی ادعا می‌کند که در نهایت این یک راه‌حل مقرون‌به‌صرفه‌تر است، زیرا به متخصصان PKI با حقوق بالا و هزینه‌های پشتیبانی نیاز ندارد.

این راهکار به طور کامل با خط تولید CI/CD موجود ادغام می‌شود و تمام نیازهای گواهی شرکت را پوشش می‌دهد. این امر به توسعه‌دهندگان و DevOps اجازه می‌دهد تا سریع‌تر کار کنند و از مواجهه با مسائل پیچیده رمزنگاری اجتناب کنند.

منبع: www.habr.com

خرید هاست قابل اعتماد برای سایت های دارای حفاظت DDoS، سرورهای VPS VDS 🔥 خرید هاستینگ معتبر با محافظت در برابر حملات DDoS، سرورهای VPS و VDS | ProHoster