開発者はすでにやるべきことがたくさんあり、暗号化と公開キー基盤 (PKI) に関する専門知識も必要です。それは正しくありません。
実際、すべてのマシンには有効な TLS 証明書が必要です。これらは、サーバー、コンテナ、仮想マシン、およびサービス メッシュに必要です。しかし、キーと証明書の数は雪だるま式に増加し、すべてを自分で行うと管理はすぐに混乱し、費用がかかり、危険が伴うものになります。ポリシーの適用と監視が適切に行われていないと、証明書が脆弱になったり、予期せぬ有効期限が切れたりして、ビジネスに支障をきたす可能性があります。
GlobalSign と Venafi は、DevOps を支援するために 2 つの Web キャストを企画しました。
既存の証明書管理プロセスの主な問題は、次のような多数の手順によって引き起こされます。
- OpenSSL での自己署名証明書の生成。
- 複数の HashiCorp Vault インスタンスを操作して、プライベート CA または自己署名証明書を管理します。
- 信頼できる証明書のアプリケーションの登録。
- パブリック クラウド プロバイダーからの証明書を使用します。
- Let's Encrypt 証明書の更新を自動化する
- 独自のスクリプトを作成する
- Red Hat Ansible、Kubernetes、Pivotal Cloud Foundry などの DevOps ツールの自己構成
すべての手順はエラーのリスクを高め、時間がかかります。 Venafi はこれらの問題を解決し、DevOps の作業を楽にしようとしています。
GlobalSign と Venafi のデモは 2 つのセクションで構成されています。まず、Venafi Cloud と GlobalSign PKI をセットアップする方法です。次に、これを使用して、使い慣れたツールを使用して、確立されたポリシーに従って証明書を要求する方法を説明します。
主要なトピック:
- 既存の DevOps CI/CD 方法論 (Jenkins など) 内での証明書発行の自動化。
- アプリケーション スタック全体にわたる PKI および証明書サービスへの即時アクセス (2 秒以内に証明書を発行)
- コンテナ オーケストレーション、シークレット管理、自動化プラットフォーム (Kubernetes、OpenShift、Terraform、HashiCorp Vault、Ansible、SaltStack など) と統合するための既製のソリューションによる公開キー インフラストラクチャの標準化。証明書を発行するための一般的なスキームを次の図に示します。
HashiCorp Vault、Venafi Cloud、GlobalSign を通じて証明書を発行するためのスキーム。この図では、CSR は証明書署名要求の略です。 - 動的で拡張性の高い環境向けの高スループットで信頼性の高い PKI インフラストラクチャ
- ポリシーおよび発行された証明書の可視性によるセキュリティ グループの使用
このアプローチにより、暗号化や PKI の専門家でなくても、信頼性の高いシステムを構築できます。
Venafi は、高給取りの PKI 専門家の関与やサポート費用が不要なため、長期的にはより費用対効果の高いソリューションであるとさえ主張しています。
このソリューションは既存の CI/CD パイプラインに完全に統合されており、企業の証明書のニーズをすべてカバーします。これにより、開発者と Devops は、難しい暗号化の問題に対処することなく、より速く作業できるようになります。
出所: habr.com