Integracións clave de Venafi
Os equipos de DevOps xa teñen moito traballo por facer e tamén se lles está a pedir que sexan expertos en criptografía e infraestrutura de clave pública (PKI). Isto é incorrecto.
De feito, cada máquina debe ter un certificado TLS válido. Estes son necesarios para servidores, contedores, máquinas virtuais e redes de malla de servizos. Pero o número de claves e certificados medra exponencialmente e xestionalos de forma independente vólvese rapidamente caótico, caro e arriscado. Sen prácticas axeitadas de aplicación de políticas e monitorización, as empresas poden sufrir certificados débiles ou caducidades inesperadas.
GlobalSign e Venafi organizaron dúas transmisións web para axudar a DevOps. , e o segundo - con sobre a conexión do sistema PKI de GlobalSign a través da nube de Venafi usando ferramentas de código aberto a través de HashiCorp Vault desde a canle de CI/CD de Jenkins.
Os principais problemas cos procesos de xestión de certificados existentes débense á gran cantidade de procedementos:
- Xeración de certificados autoasinados en OpenSSL.
- Traballa con varias instancias de HashiCorp Vault para xestionar a túa CA privada ou os certificados autoasinados.
- Envío de solicitudes de certificados de confianza.
- Usando certificados de provedores de nube pública.
- Automatización da renovación de certificados de Let's Encrypt
- Escribir os teus propios guións
- Autoconfiguración de ferramentas DevOps como Red Hat Ansible, Kubernetes e Pivotal Cloud Foundry
Todos os procedementos aumentan o risco de erro e requiren moito tempo. Venafi ten como obxectivo abordar estes problemas e facilitarlles a vida aos DevOps.
A demostración de GlobalSign e Venafi consta de dúas seccións. Primeira, como configurar Venafi Cloud e GlobalSign PKI. Despois, como usalos para solicitar certificados segundo as políticas establecidas, usando ferramentas coñecidas.
Temas clave:
- Automatizar a emisión de certificados dentro das prácticas de CI/CD de DevOps existentes (por exemplo, Jenkins).
- Acceso instantáneo a servizos de PKI e certificados en toda a pila de aplicacións (emisión de certificados en dous segundos)
- Estandarización da infraestrutura de clave pública con solucións predefinidas para a integración con plataformas de orquestración de contedores, xestión de segredos e automatización (por exemplo, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack e outras). O fluxo xeral de emisión de certificados móstrase na ilustración seguinte.
Esquema de emisión de certificados a través de HashiCorp Vault, Venafi Cloud e GlobalSign. No diagrama, CSR significa Solicitude de sinatura de certificado. - Infraestrutura PKI fiable e de alto rendemento para entornos dinámicos e altamente escalables
- Uso de grupos de seguranza mediante políticas e visibilidade dos certificados emitidos
Esta estratexia permíteche organizar un sistema fiable sen ser un experto en criptografía e PKI.
Motor de segredos de Venafi
Venafi mesmo afirma que, en última instancia, é unha solución máis rendible, xa que non require especialistas en PKI altamente remunerados nin custos de soporte.
A solución intégrase totalmente na canle de CI/CD existente e cobre todas as necesidades de certificados da empresa. Isto permite aos desenvolvedores e DevOps traballar máis rápido e evitar ter que lidar con problemas criptográficos complexos.
Fonte: www.habr.com
