Ծրագրավորողներն արդեն շատ աշխատանք ունեն անելու, և նրանցից պահանջվում է նաև կրիպտոգրաֆիայի և հանրային բանալին ենթակառուցվածքի (PKI) փորձագիտական գիտելիքներ: Դա ճիշտ չէ։
Իրոք, յուրաքանչյուր մեքենա պետք է ունենա վավեր TLS վկայագիր: Դրանք անհրաժեշտ են սերվերների, կոնտեյներների, վիրտուալ մեքենաների և սպասարկման ցանցերի համար: Բայց բանալիների և վկայականների թիվը ձնագնդի պես աճում է, և կառավարումն արագ դառնում է քաոսային, թանկ ու ռիսկային, եթե ամեն ինչ ինքդ ես անում: Առանց քաղաքականության կիրարկման և մոնիտորինգի լավ պրակտիկայի, ձեռնարկությունները կարող են տուժել թույլ սերտիֆիկատների կամ անսպասելի ժամկետանց ժամկետների պատճառով:
GlobalSign-ը և Venafi-ն կազմակերպեցին երկու վեբ հեռարձակումներ՝ devop-ին օգնելու համար:
Գոյություն ունեցող սերտիֆիկատների կառավարման գործընթացների հիմնական խնդիրները պայմանավորված են բազմաթիվ ընթացակարգերով.
- OpenSSL-ում ինքնաստորագրված վկայագրերի ստեղծում:
- Աշխատեք HashiCorp Vault-ի մի քանի օրինակների հետ՝ կառավարելու մասնավոր CA կամ ինքնաստորագրված վկայագրերը:
- Վստահելի վկայականների համար դիմումների գրանցում.
- Հանրային ամպային մատակարարների վկայագրերի օգտագործումը:
- Ավտոմատացնել Let's Encrypt վկայագրի նորացումը
- Գրելով ձեր սեփական սցենարները
- DevOps գործիքների ինքնակարգավորում, ինչպիսիք են Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Բոլոր ընթացակարգերը մեծացնում են սխալի վտանգը և ժամանակատար են: Վենաֆին փորձում է լուծել այս խնդիրները և դեվոպսի կյանքը հեշտացնել։
GlobalSign-ի և Venafi-ի ցուցադրությունը բաղկացած է երկու բաժնից: Նախ, ինչպես կարգավորել Venafi Cloud-ը և GlobalSign PKI-ն: Այնուհետև ինչպես օգտագործել այն՝ հաստատված քաղաքականության համաձայն վկայագրեր պահանջելու համար՝ օգտագործելով ծանոթ գործիքներ:
Հիմնական թեմաներ.
- Վկայագրի տրամադրման ավտոմատացում գոյություն ունեցող DevOps CI/CD մեթոդոլոգիաների շրջանակներում (օրինակ՝ Ջենկինս):
- PKI-ի և սերտիֆիկատների ծառայությունների ակնթարթային հասանելիություն դիմումի ողջ փաթեթում (վկայականների տրամադրում երկու վայրկյանում)
- Հանրային բանալիների ենթակառուցվածքի ստանդարտացում կոնտեյներների նվագախմբի, գաղտնիքների կառավարման և ավտոմատացման հարթակների հետ ինտեգրվելու պատրաստ լուծումներով (օրինակ՝ Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack և այլն): Վկայականների տրամադրման ընդհանուր սխեման ներկայացված է ստորև բերված նկարում:
HashiCorp Vault-ի, Venafi Cloud-ի և GlobalSign-ի միջոցով վկայագրերի տրամադրման սխեման: Դիագրամում CSR-ն նշանակում է վկայագրի ստորագրման հարցում: - Բարձր թողունակություն և հուսալի PKI ենթակառուցվածք դինամիկ, բարձր մասշտաբային միջավայրերի համար
- Անվտանգության խմբերի օգտագործումը քաղաքականության և տրված վկայագրերի տեսանելիության միջոցով
Այս մոտեցումը թույլ է տալիս կազմակերպել հուսալի համակարգ՝ առանց կրիպտոգրաֆիայի և PKI-ի փորձագետ լինելու:
Վենաֆին նույնիսկ պնդում է, որ դա երկարաժամկետ հեռանկարում ավելի ծախսարդյունավետ լուծում է, քանի որ այն չի պահանջում բարձր վարձատրվող PKI մասնագետների ներգրավում և աջակցության ծախսեր:
Լուծումը լիովին ինտեգրված է գործող CI/CD խողովակաշարին և ծածկում է ընկերության բոլոր սերտիֆիկատների կարիքները: Այս կերպ ծրագրավորողները և մշակողները կարող են ավելի արագ աշխատել՝ առանց գաղտնագրման բարդ խնդիրների հետ առնչվելու:
Source: www.habr.com