Razvojni programeri već imaju puno posla, a od njih se također traži stručno znanje o kriptografiji i infrastrukturi javnih ključeva (PKI). Nije u redu.
Doista, svaki stroj mora imati važeći TLS certifikat. Potrebni su za poslužitelje, spremnike, virtualne strojeve i mrežne mreže servisa. Ali broj ključeva i certifikata raste kao gruda snijega, a upravljanje brzo postaje kaotično, skupo i riskantno ako sve radite sami. Bez dobre prakse provedbe politike i praćenja, tvrtke mogu trpjeti zbog slabih certifikata ili neočekivanog isteka.
GlobalSign i Venafi organizirali su dva webcasta za pomoć devopsima.
Glavni problemi postojećih procesa upravljanja certifikatima uzrokovani su velikim brojem procedura:
- Generiranje samopotpisanih certifikata u OpenSSL-u.
- Radite s više instanci HashiCorp Vault za upravljanje privatnim CA ili samopotpisanim certifikatima.
- Registracija zahtjeva za pouzdane certifikate.
- Korištenje certifikata javnih pružatelja usluga oblaka.
- Automatizirajte obnovu certifikata Let's Encrypt
- Pisanje vlastitih scenarija
- Samostalna konfiguracija DevOps alata kao što su Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Svi postupci povećavaju rizik od pogreške i dugotrajni su. Venafi pokušava riješiti te probleme i olakšati život devopsima.
Demo GlobalSign i Venafi sastoji se od dva dijela. Prvo, kako postaviti Venafi Cloud i GlobalSign PKI. Zatim kako ga koristiti za traženje certifikata u skladu s utvrđenim pravilima, koristeći poznate alate.
Ključne teme:
- Automatizacija izdavanja certifikata unutar postojećih DevOps CI/CD metodologija (npr. Jenkins).
- Trenutačni pristup PKI-u i uslugama certifikata na cijelom hrpu aplikacija (izdavanje certifikata unutar dvije sekunde)
- Standardizacija infrastrukture javnih ključeva s gotovim rješenjima za integraciju s platformama za orkestraciju kontejnera, upravljanje tajnama i automatizaciju (primjerice, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack i drugi). Opća shema za izdavanje certifikata prikazana je na slici ispod.
Shema za izdavanje certifikata kroz HashiCorp Vault, Venafi Cloud i GlobalSign. U dijagramu, CSR je kratica za Certificate Signing Request. - Visoka propusnost i pouzdana PKI infrastruktura za dinamična, visoko skalabilna okruženja
- Korištenje sigurnosnih grupa kroz politike i vidljivost izdanih certifikata
Ovaj pristup vam omogućuje da organizirate pouzdan sustav bez da ste stručnjak za kriptografiju i PKI.
Venafi čak tvrdi da je to dugoročno isplativije rješenje, budući da ne zahtijeva angažman visoko plaćenih PKI stručnjaka i troškove podrške.
Rješenje je u potpunosti integrirano u postojeći CI/CD cjevovod i pokriva sve potrebe tvrtke za certifikatima. Na ovaj način programeri i devops mogu raditi brže bez suočavanja s teškim kriptografskim problemima.
Izvor: www.habr.com