DevOps의 PKI 구현 지원

Venafi 주요 통합

개발자는 이미 해야 할 일이 많고 암호화 및 공개 키 인프라(PKI)에 대한 전문 지식도 필요합니다. 그것은 옳지 않습니다.

실제로 모든 머신에는 유효한 TLS 인증서가 있어야 합니다. 서버, 컨테이너, 가상 머신 및 서비스 메시에 필요합니다. 그러나 키와 인증서의 수가 눈덩이처럼 늘어나고 모든 것을 직접 수행하면 관리가 빠르게 혼란스럽고 비용이 많이 들고 위험해집니다. 올바른 정책 시행 및 모니터링 관행이 없으면 기업은 취약한 인증서 또는 예상치 못한 만료로 인해 어려움을 겪을 수 있습니다.

GlobalSign과 Venafi는 DevOps를 돕기 위해 두 개의 웹캐스트를 조직했습니다. 첫 번째는 소개입니다, 그리고 두 번째 - 보다 구체적인 기술 조언 Jenkins CI/CD 파이프라인의 HashiCorp Vault를 통해 오픈 소스 도구를 사용하여 Venafi 클라우드를 통해 GlobalSign의 PKI 시스템을 연결합니다.

기존 인증서 관리 프로세스의 주요 문제는 수많은 절차로 인해 발생합니다.

• OpenSSL에서 자체 서명된 인증서를 생성합니다.
• 여러 HashiCorp Vault 인스턴스를 사용하여 개인 CA 또는 자체 서명 인증서를 관리하세요.
• 신뢰할 수 있는 인증서에 대한 애플리케이션 등록.
• 퍼블릭 클라우드 제공업체의 인증서를 사용합니다.
• Let's Encrypt 인증서 갱신 자동화
• 나만의 스크립트 작성
• Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry와 같은 DevOps 도구의 자체 구성

모든 절차는 오류 위험을 높이고 시간이 많이 걸립니다. Venafi는 이러한 문제를 해결하고 DevOps의 삶을 더 쉽게 만들기 위해 노력하고 있습니다.

GlobalSign 및 Venafi 데모는 두 개의 섹션으로 구성됩니다. 첫째, Venafi Cloud 및 GlobalSign PKI를 설정하는 방법입니다. 그런 다음 익숙한 도구를 사용하여 설정된 정책에 따라 인증서를 요청하는 방법을 설명합니다.

주요 주제:

• 기존 DevOps CI/CD 방법론(예: Jenkins) 내에서 인증서 발급을 자동화합니다.
• 전체 애플리케이션 스택에서 PKI 및 인증서 서비스에 즉시 액세스(2초 이내에 인증서 발급)
• 컨테이너 오케스트레이션, 비밀 관리 및 자동화 플랫폼(예: Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack 등)과의 통합을 위해 기성 솔루션으로 공개 키 인프라를 표준화합니다. 인증서 발급을 위한 일반적인 체계는 아래 그림에 나와 있습니다.

  
  HashiCorp Vault, Venafi Cloud 및 GlobalSign을 통해 인증서를 발급하는 계획입니다. 다이어그램에서 CSR은 인증서 서명 요청을 나타냅니다.

• 동적이고 확장성이 뛰어난 환경을 위한 높은 처리량과 안정적인 PKI 인프라
• 발급된 인증서의 정책 및 가시성을 통해 보안 그룹 사용

이 접근 방식을 사용하면 암호화 및 PKI 전문가가 아니더라도 안정적인 시스템을 구성할 수 있습니다.

Venafi 비밀 엔진

Venafi는 고임금 PKI 전문가의 참여와 지원 비용이 필요하지 않기 때문에 장기적으로 볼 때 더 비용 효과적인 솔루션이라고 주장합니다.

이 솔루션은 기존 CI/CD 파이프라인에 완전히 통합되어 회사의 모든 인증서 요구 사항을 충족합니다. 이렇게 하면 개발자와 DevOps는 어려운 암호화 문제를 처리할 필요 없이 더 빠르게 작업할 수 있습니다.

출처 : habr.com