Venafi негізгі интеграциялары
Әзірлеушілерде қазірдің өзінде көп жұмыс істеу керек, сонымен қатар олардан криптография және ашық кілттер инфрақұрылымы (PKI) бойынша сарапшылық білімі болуы талап етіледі. Бұл дұрыс емес.
Шынында да, әрбір құрылғының жарамды TLS сертификаты болуы керек. Олар серверлерге, контейнерлерге, виртуалды машиналарға және қызмет көрсету торларына қажет. Бірақ кілттер мен сертификаттардың саны қарлы кесек сияқты өседі, ал егер сіз бәрін өзіңіз жасасаңыз, басқару тез ретсіз, қымбат және тәуекелге айналады. Тиісті саясатты қолдану және бақылау тәжірибесі болмаса, кәсіпорындар әлсіз сертификаттардың немесе күтпеген жарамдылық мерзімінің аяқталуынан зардап шегуі мүмкін.
GlobalSign және Venafi девоптерге көмектесу үшін екі веб-хабарлама ұйымдастырды. , ал екіншісі - бірге Jenkins CI/CD құбырынан HashiCorp Vault арқылы ашық бастапқы құралдарды пайдаланып Venafi бұлты арқылы GlobalSign жүйесінен PKI жүйесін қосу үшін.
Қолданыстағы сертификаттарды басқару процестерінің негізгі проблемалары көптеген процедуралардан туындайды:
- OpenSSL жүйесінде өздігінен қол қойылған сертификаттарды жасау.
- Жеке CA немесе өздігінен қол қойылған сертификаттарды басқару үшін бірнеше HashiCorp Vault даналарымен жұмыс жасаңыз.
- Сенімді сертификаттарға өтінімдерді тіркеу.
- Қоғамдық бұлттық провайдерлердің сертификаттарын пайдалану.
- Сертификат жаңартуын автоматтандыру Let's Encrypt
- Өз сценарийлеріңізді жазу
- Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry сияқты DevOps құралдарының өзін-өзі конфигурациялауы
Барлық процедуралар қателік қаупін арттырады және уақытты қажет етеді. Венафи осы мәселелерді шешуге және девоптардың өмірін жеңілдетуге тырысады.
GlobalSign және Venafi демонстрациялары екі бөлімнен тұрады. Біріншіден, Venafi Cloud және GlobalSign PKI орнату жолы. Содан кейін оны таныс құралдарды пайдаланып, белгіленген саясаттарға сәйкес сертификаттарды сұрау үшін қалай пайдалануға болады.
Негізгі тақырыптар:
- Қолданыстағы DevOps CI/CD әдістемелерінде сертификат беруді автоматтандыру (мысалы, Дженкинс).
- Бүкіл қолданбалар стегі бойынша PKI және сертификат қызметтеріне жылдам қол жеткізу (екі секунд ішінде сертификаттарды беру)
- Контейнерлік оркестрмен, құпияларды басқару және автоматтандыру платформаларымен (мысалы, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack және т.б.) интеграцияға арналған дайын шешімдермен ашық кілттер инфрақұрылымын стандарттау. Сертификаттарды берудің жалпы схемасы төмендегі суретте көрсетілген.
HashiCorp Vault, Venafi Cloud және GlobalSign арқылы сертификаттар беру схемасы. Диаграммада CSR сертификатқа қол қою сұрауын білдіреді. - Динамикалық, жоғары масштабталатын орталар үшін жоғары өткізу қабілеті және сенімді PKI инфрақұрылымы
- Қауіпсіздік топтарын саясаттар мен берілген сертификаттардың көрінуі арқылы пайдалану
Бұл тәсіл криптография және PKI бойынша сарапшы болмай-ақ сенімді жүйені ұйымдастыруға мүмкіндік береді.
Венафи құпиялары қозғалтқышы
Венафи тіпті бұл ұзақ мерзімді перспективада үнемді шешім деп мәлімдейді, өйткені ол жоғары ақы төленетін PKI мамандарын тартуды және қолдау шығындарын қажет етпейді.
Шешім қолданыстағы CI/CD құбырына толығымен біріктірілген және компанияның барлық сертификаттық қажеттіліктерін қамтиды. Осылайша, әзірлеушілер мен әзірлеушілер күрделі криптографиялық мәселелермен айналыспай-ақ жылдам жұмыс істей алады.
Ақпарат көзі: www.habr.com