A fejlesztőknek már most is sok munka vár rájuk, és a kriptográfia és a nyilvános kulcsú infrastruktúra (PKI) terén is szakértői ismeretekkel kell rendelkezniük. Nem helyes.
Valójában minden gépnek rendelkeznie kell érvényes TLS-tanúsítvánnyal. Szerverekhez, konténerekhez, virtuális gépekhez és szolgáltatáshálókhoz van szükségük. De a kulcsok és bizonyítványok száma hógolyóként nő, és a menedzsment gyorsan kaotikussá, költségessé és kockázatossá válik, ha mindent saját maga csinál. A megfelelő irányelvek betartatási és ellenőrzési gyakorlata nélkül a vállalkozások megszenvedhetik a gyenge tanúsítványokat vagy a váratlan lejáratokat.
A GlobalSign és a Venafi két webcastot szervezett a devopok megsegítésére.
A meglévő tanúsítványkezelési folyamatok fő problémáit számos eljárás okozza:
- Önaláírt tanúsítványok generálása OpenSSL-ben.
- Több HashiCorp Vault-példánnyal dolgozhat a privát CA vagy önaláírt tanúsítványok kezeléséhez.
- Megbízható tanúsítványok iránti kérelmek regisztrációja.
- Nyilvános felhőszolgáltatók tanúsítványainak használata.
- A Let's Encrypt tanúsítványmegújítások automatizálása
- Saját forgatókönyvek írása
- A DevOps eszközök, például a Red Hat Ansible, a Kubernetes, a Pivotal Cloud Foundry önkonfigurálása
Minden eljárás növeli a hiba kockázatát és időigényes. Venafi megpróbálja megoldani ezeket a problémákat, és megkönnyíteni a devopok életét.
A GlobalSign és a Venafi demó két részből áll. Először is, hogyan kell beállítani a Venafi Cloud és a GlobalSign PKI szolgáltatást. Aztán hogyan lehet vele tanúsítványokat kérni a megállapított házirendek szerint, ismerős eszközökkel.
Főbb témák:
- Tanúsítványkiadás automatizálása a meglévő DevOps CI/CD módszertanokon belül (például Jenkins).
- Azonnali hozzáférés a PKI- és tanúsítványszolgáltatásokhoz a teljes alkalmazásveremben (a tanúsítványok kiállítása két másodpercen belül)
- A nyilvános kulcsú infrastruktúra szabványosítása kész megoldásokkal a konténer-hangszerelési, titokkezelési és automatizálási platformokkal való integrációhoz (például Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack és mások). A tanúsítványok kiállításának általános sémája az alábbi ábrán látható.
A HashiCorp Vaulton, a Venafi Cloudon és a GlobalSign-en keresztüli tanúsítványok kiállításának rendszere. Az ábrán a CSR a Certificate Signing Request rövidítése. - Nagy áteresztőképességű és megbízható PKI-infrastruktúra dinamikus, nagymértékben skálázható környezetekhez
- Biztonsági csoportok használata házirendek és a kiadott tanúsítványok láthatósága révén
Ez a megközelítés lehetővé teszi egy megbízható rendszer megszervezését anélkül, hogy a kriptográfia és a PKI szakértője lennél.
A Venafi még azt is állítja, hogy hosszú távon költséghatékonyabb megoldás, mert nem igényel magasan fizetett PKI-szakembereket és támogatási költségeket.
A megoldás teljes mértékben integrálva van a meglévő CI/CD csővezetékbe, és lefedi a vállalat összes tanúsítványigényét. Így a fejlesztők és a fejlesztők gyorsabban dolgozhatnak anélkül, hogy bonyolult kriptográfiai problémákkal kellene megküzdeniük.
Forrás: will.com