סיוע ל-devops ביישום PKI

שילובי מפתח Venafi

למפתחים יש כבר עבודה רבה לעשות, והם גם נדרשים להיות בעלי ידע מומחה בהצפנה ובתשתית מפתח ציבורי (PKI). זה לא נכון.

אכן, כל מכונה חייבת להיות בעלת תעודת TLS תקפה. הם נחוצים עבור שרתים, קונטיינרים, מכונות וירטואליות וברשתות שירות. אבל מספר המפתחות והתעודות גדל כמו כדור שלג, והניהול הופך במהירות לכאוטי, יקר ומסוכן אם אתה עושה הכל בעצמך. ללא נוהלי אכיפה וניטור טובים של מדיניות, עסקים עלולים לסבול עקב אישורים חלשים או תפוגה בלתי צפויה.

GlobalSign ו-Venafi ארגנו שני שידורי אינטרנט כדי לעזור ל-devops. הראשון הוא היכרות, והשני - עם ייעוץ טכני ספציפי יותר לחבר את מערכת ה-PKI מ-GlobalSign דרך ענן Venafi באמצעות כלי קוד פתוח דרך HashiCorp Vault מצינור Jenkins CI/CD.

הבעיות העיקריות של תהליכי ניהול תעודות קיימים נגרמות ממספר רב של הליכים:

• הפקת אישורים בחתימה עצמית ב-OpenSSL.
• עבוד עם מספר מופעים של HashiCorp Vault כדי לנהל CA פרטיים או אישורים בחתימה עצמית.
• רישום בקשות לתעודות מהימנות.
• שימוש בתעודות מספקי ענן ציבוריים.
• אוטומציה של חידושי אישורים של Let's Encrypt
• כתיבת תסריטים משלך
• תצורה עצמית של כלי DevOps כמו Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry

כל ההליכים מגבירים את הסיכון לטעות והם גוזלים זמן. Venafi מנסה לפתור את הבעיות הללו ולהקל על החיים של devops.

ההדגמה של GlobalSign ו-Venafi מורכבת משני חלקים. ראשית, כיצד להגדיר את Venafi Cloud ואת GlobalSign PKI. לאחר מכן כיצד להשתמש בו כדי לבקש אישורים בהתאם למדיניות שנקבעה, באמצעות כלים מוכרים.

נושאים מרכזיים:

• אוטומציה של הנפקת אישורים בתוך מתודולוגיות קיימות של DevOps CI/CD (לדוגמה, Jenkins).
• גישה מיידית לשירותי PKI ואישורים על פני כל ערימת האפליקציות (הנפקת אישורים תוך שתי שניות)
• סטנדרטיזציה של תשתית מפתח ציבורי עם פתרונות מוכנים לאינטגרציה עם תזמור קונטיינרים, פלטפורמות ניהול סודות ואוטומציה (לדוגמה, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack ועוד). התוכנית הכללית להנפקת תעודות מוצגת באיור שלהלן.

  
  תכנית להנפקת תעודות דרך HashiCorp Vault, Venafi Cloud ו-GlobalSign. בתרשים, CSR מייצג בקשת חתימה על אישור.

• תפוקה גבוהה ותשתית PKI אמינה עבור סביבות דינמיות, ניתנות להרחבה במיוחד
• שימוש בקבוצות אבטחה באמצעות מדיניות ונראות של תעודות שהונפקו

גישה זו מאפשרת לך לארגן מערכת אמינה מבלי להיות מומחה בהצפנה וב-PKI.

מנוע הסודות של Venafi

Venafi אף טוענת כי מדובר בפתרון חסכוני יותר בטווח הארוך, שכן הוא אינו מצריך מעורבות של מומחי PKI בשכר גבוה ועלויות תמיכה.

הפתרון משולב במלואו בצנרת ה-CI/CD הקיימת ומכסה את כל צרכי התעודה של החברה. בדרך זו, מפתחים ו-devops יכולים לעבוד מהר יותר מבלי להתמודד עם בעיות קריפטוגרפיות קשות.

מקור: www.habr.com