Kehittäjillä on jo paljon työtä tehtävänä, ja heiltä vaaditaan myös asiantuntemusta salauksesta ja julkisen avaimen infrastruktuurista (PKI). Se ei ole oikein.
Jokaisella koneella on todellakin oltava voimassa oleva TLS-sertifikaatti. Niitä tarvitaan palvelimissa, konteissa, virtuaalikoneissa ja palveluverkoissa. Mutta avainten ja todistusten määrä kasvaa kuin lumipallo, ja johtamisesta tulee nopeasti kaoottista, kallista ja riskialtista, jos teet kaiken itse. Ilman hyviä käytäntöjen täytäntöönpano- ja valvontakäytäntöjä yritykset voivat kärsiä heikkojen sertifikaattien tai odottamattomien vanhenemisen vuoksi.
GlobalSign ja Venafi järjestivät kaksi webcastia auttaakseen kehittäjiä.
Nykyisten varmenteiden hallintaprosessien pääongelmat johtuvat useista menettelyistä:
- Luodaan itse allekirjoitettuja varmenteita OpenSSL:ssä.
- Työskentele useiden HashiCorp Vault -esiintymien kanssa hallitaksesi yksityisiä CA- tai itse allekirjoitettuja varmenteita.
- Luotettujen sertifikaattien hakemusten rekisteröinti.
- Käytä julkisten pilvipalveluntarjoajien varmenteita.
- Let's Encrypt -sertifikaattien uusimisen automatisointi
- Omien käsikirjoitusten kirjoittaminen
- DevOps-työkalujen, kuten Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry, itsemääritys
Kaikki toimenpiteet lisäävät virheriskiä ja ovat aikaa vieviä. Venafi yrittää ratkaista nämä ongelmat ja helpottaa devopien elämää.
GlobalSign- ja Venafi-demo koostuu kahdesta osasta. Ensinnäkin Venafi Cloudin ja GlobalSign PKI:n määrittäminen. Sitten kuinka sen avulla pyydetään varmenteita vakiintuneiden käytäntöjen mukaisesti tuttujen työkalujen avulla.
Keskeiset aiheet:
- Varmenteiden myöntämisen automatisointi olemassa olevissa DevOps CI/CD -menetelmissä (esimerkiksi Jenkins).
- Välitön pääsy PKI- ja varmennepalveluihin koko sovelluspinossa (varmenteiden myöntäminen kahdessa sekunnissa)
- Julkisen avaimen infrastruktuurin standardointi valmiilla ratkaisuilla integroitavaksi konttien orkestrointiin, salaisuuksien hallintaan ja automaatioalustoihin (esim. Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack ja muut). Yleinen todistusten myöntämisjärjestelmä on esitetty alla olevassa kuvassa.
Varmenteiden myöntämisjärjestelmä HashiCorp Vaultin, Venafi Cloudin ja GlobalSignin kautta. Kaaviossa CSR tarkoittaa varmenteen allekirjoituspyyntöä. - Suuri suorituskyky ja luotettava PKI-infrastruktuuri dynaamisiin, erittäin skaalautuviin ympäristöihin
- Turvaryhmien käyttö käytäntöjen ja myönnettyjen varmenteiden näkyvyyden kautta
Tämän lähestymistavan avulla voit järjestää luotettavan järjestelmän ilman, että olet kryptografian ja PKI:n asiantuntija.
Venafi jopa väittää, että se on pitkällä aikavälillä kustannustehokkaampi ratkaisu, koska se ei vaadi korkeasti palkattujen PKI-asiantuntijoiden osallistumista ja tukikustannuksia.
Ratkaisu on täysin integroitu olemassa olevaan CI/CD-putkistoon ja kattaa kaikki yrityksen sertifikaattitarpeet. Tällä tavalla kehittäjät ja devopit voivat työskennellä nopeammin ilman vaikeita salausongelmia.
Lähde: will.com