Pengembang sudah memiliki banyak pekerjaan yang harus dilakukan, dan mereka juga diharuskan memiliki pengetahuan ahli di bidang kriptografi dan infrastruktur kunci publik (PKI). Itu tidak benar.
Memang setiap mesin harus memiliki sertifikat TLS yang valid. Mereka diperlukan untuk server, container, mesin virtual, dan jerat layanan. Namun jumlah kunci dan sertifikat bertambah seperti bola salju, dan pengelolaan dengan cepat menjadi kacau, mahal, dan berisiko jika Anda melakukan semuanya sendiri. Tanpa penegakan kebijakan dan praktik pemantauan yang baik, dunia usaha dapat menderita karena lemahnya sertifikat atau masa berlaku yang tidak terduga.
GlobalSign dan Venafi mengatur dua webcast untuk membantu para pengembang.
Masalah utama dari proses manajemen sertifikat yang ada disebabkan oleh banyaknya prosedur:
- Menghasilkan sertifikat yang ditandatangani sendiri di OpenSSL.
- Bekerja dengan beberapa instans HashiCorp Vault untuk mengelola CA pribadi atau sertifikat yang ditandatangani sendiri.
- Pendaftaran aplikasi untuk sertifikat tepercaya.
- Menggunakan sertifikat dari penyedia cloud publik.
- Mengotomatiskan pembaruan sertifikat Let's Encrypt
- Menulis skrip Anda sendiri
- Konfigurasi mandiri alat DevOps seperti Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Semua prosedur meningkatkan risiko kesalahan dan memakan waktu. Venafi mencoba memecahkan masalah ini dan membuat hidup lebih mudah bagi para devops.
Demo GlobalSign dan Venafi terdiri dari dua bagian. Pertama, cara setting Venafi Cloud dan GlobalSign PKI. Lalu bagaimana cara menggunakannya untuk meminta sertifikat sesuai kebijakan yang telah ditetapkan, menggunakan alat yang sudah familiar.
Topik utama:
- Otomatisasi penerbitan sertifikat dalam metodologi DevOps CI/CD yang ada (misalnya, Jenkins).
- Akses cepat ke PKI dan layanan sertifikat di seluruh tumpukan aplikasi (menerbitkan sertifikat dalam dua detik)
- Standarisasi infrastruktur kunci publik dengan solusi siap pakai untuk integrasi dengan orkestrasi kontainer, manajemen rahasia, dan platform otomatisasi (misalnya, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack, dan lainnya). Skema umum penerbitan sertifikat ditunjukkan pada ilustrasi di bawah ini.
Skema penerbitan sertifikat melalui HashiCorp Vault, Venafi Cloud dan GlobalSign. Dalam diagram, CSR adalah singkatan dari Certificate Signing Request. - Infrastruktur PKI dengan throughput tinggi dan andal untuk lingkungan yang dinamis dan sangat terukur
- Menggunakan kelompok keamanan melalui kebijakan dan visibilitas sertifikat yang diterbitkan
Pendekatan ini memungkinkan Anda untuk mengatur sistem yang andal tanpa menjadi ahli dalam kriptografi dan PKI.
Venafi bahkan mengklaim bahwa ini adalah solusi yang lebih hemat biaya dalam jangka panjang karena tidak memerlukan spesialis dan biaya dukungan PKI yang dibayar tinggi.
Solusi ini sepenuhnya terintegrasi ke dalam pipeline CI/CD yang ada dan mencakup semua kebutuhan sertifikat perusahaan. Dengan cara ini, pengembang dan pengembang dapat bekerja lebih cepat tanpa harus menghadapi masalah kriptografi yang sulit.
Sumber: www.habr.com