Os desenvolvedores xa teñen moito traballo que facer, e tamén se lles require un coñecemento experto en criptografía e infraestrutura de clave pública (PKI). Non é correcto.
De feito, cada máquina debe ter un certificado TLS válido. Son necesarios para servidores, contedores, máquinas virtuais e mallas de servizo. Pero o número de claves e certificados crece como unha bola de neve, e a xestión vólvese rapidamente caótica, cara e arriscada se o fas ti mesmo. Sen boas prácticas de seguimento e aplicación de políticas, as empresas poden sufrir debido a certificados débiles ou caducidades inesperadas.
GlobalSign e Venafi organizaron dúas webcasts para axudar aos devops.
Os principais problemas dos procesos de xestión de certificados existentes son causados por un gran número de procedementos:
- Xerar certificados autoasinados en OpenSSL.
- Traballa con varias instancias de HashiCorp Vault para xestionar certificados de CA privadas ou autoasinados.
- Rexistro de solicitudes de certificados de confianza.
- Usando certificados de provedores de nube pública.
- Automatiza a renovación do certificado Let's Encrypt
- Escribindo os teus propios guións
- Autoconfiguración de ferramentas DevOps como Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Todos os procedementos aumentan o risco de erro e son lentos. Venafi está tentando resolver estes problemas e facilitarlles a vida aos devops.
A demostración de GlobalSign e Venafi consta de dúas seccións. Primeiro, como configurar Venafi Cloud e GlobalSign PKI. A continuación, como utilizalo para solicitar certificados segundo as políticas establecidas, utilizando ferramentas coñecidas.
Temas clave:
- Automatización da emisión de certificados dentro das metodoloxías DevOps CI/CD existentes (por exemplo, Jenkins).
- Acceso instantáneo a PKI e servizos de certificados en toda a pila de aplicacións (emisión de certificados en dous segundos)
- Estandarización da infraestrutura de chave pública con solucións preparadas para a integración con plataformas de orquestración de contedores, xestión de segredos e automatización (por exemplo, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack e outros). O esquema xeral de emisión de certificados móstrase na seguinte ilustración.
Esquema de emisión de certificados a través de HashiCorp Vault, Venafi Cloud e GlobalSign. No diagrama, CSR significa Solicitude de sinatura de certificado. - Infraestrutura PKI de alto rendemento e fiable para ambientes dinámicos e altamente escalables
- Uso de grupos de seguridade mediante políticas e visibilidade dos certificados emitidos
Este enfoque permítelle organizar un sistema fiable sen ser un experto en criptografía e PKI.
Venafi incluso afirma que é unha solución máis rendible a longo prazo, xa que non require a participación de especialistas en PKI moi remunerados e custos de apoio.
A solución está totalmente integrada no pipeline CI/CD existente e cobre todas as necesidades de certificados da empresa. Deste xeito, os desenvolvedores e devops poden traballar máis rápido sen ter que xestionar problemas criptográficos difíciles.
Fonte: www.habr.com