Intégrations clés Venafi
Les développeurs ont déjà beaucoup de travail à faire et ils doivent également posséder des connaissances approfondies en cryptographie et en infrastructure à clé publique (PKI). Ce n'est pas correct.
En effet, chaque machine doit disposer d'un certificat TLS valide. Ils sont nécessaires pour les serveurs, les conteneurs, les machines virtuelles et dans les maillages de services. Mais le nombre de clés et de certificats augmente comme une boule de neige, et la gestion devient vite chaotique, coûteuse et risquée si l'on fait tout soi-même. Sans bonnes pratiques d’application des politiques et de surveillance, les entreprises peuvent souffrir de certificats faibles ou d’expirations inattendues.
GlobalSign et Venafi ont organisé deux webcasts pour aider les développeurs. , et le second - avec pour connecter le système PKI de GlobalSign via le cloud Venafi à l'aide d'outils open source via HashiCorp Vault à partir du pipeline Jenkins CI/CD.
Les principaux problèmes des processus de gestion des certificats existants sont causés par un grand nombre de procédures :
- Génération de certificats auto-signés dans OpenSSL.
- Travaillez avec plusieurs instances HashiCorp Vault pour gérer des certificats d'autorité de certification privés ou auto-signés.
- Enregistrement des demandes de certificats de confiance.
- Utilisation de certificats de fournisseurs de cloud public.
- Automatisation des renouvellements de certificats Let's Encrypt
- Écrire vos propres scripts
- Auto-configuration d'outils DevOps comme Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Toutes les procédures augmentent le risque d’erreur et prennent du temps. Venafi essaie de résoudre ces problèmes et de faciliter la vie des développeurs.
La démo GlobalSign et Venafi se compose de deux sections. Tout d'abord, comment configurer Venafi Cloud et GlobalSign PKI. Ensuite, comment l'utiliser pour demander des certificats conformément aux politiques établies, à l'aide d'outils familiers.
Thèmes clés :
- Automatisation de l'émission de certificats au sein des méthodologies DevOps CI/CD existantes (par exemple, Jenkins).
- Accès instantané aux services PKI et de certificats sur l'ensemble de la pile d'applications (émission de certificats en deux secondes)
- Standardisation de l'infrastructure à clé publique avec des solutions prêtes à l'emploi pour l'intégration avec les plateformes d'orchestration de conteneurs, de gestion des secrets et d'automatisation (par exemple, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack et autres). Le schéma général de délivrance des certificats est présenté dans l'illustration ci-dessous.
Schéma de délivrance de certificats via HashiCorp Vault, Venafi Cloud et GlobalSign. Dans le diagramme, CSR signifie Certificate Signing Request. - Infrastructure PKI fiable et à haut débit pour des environnements dynamiques et hautement évolutifs
- Utilisation de groupes de sécurité via des politiques et une visibilité des certificats émis
Cette approche permet d'organiser un système fiable sans être un expert en cryptographie et PKI.
Moteur de secrets Venafi
Venafi affirme même qu'il s'agit d'une solution plus rentable à long terme, car elle ne nécessite pas l'intervention de spécialistes PKI hautement rémunérés ni de frais de support.
La solution est entièrement intégrée au pipeline CI/CD existant et couvre tous les besoins en certificats de l'entreprise. De cette façon, les développeurs et les développeurs peuvent travailler plus rapidement sans avoir à faire face à des problèmes cryptographiques difficiles.
Source: habr.com