Venafi atslēgu integrācijas
Izstrādātājiem jau ir daudz darāmā, un viņiem ir nepieciešamas arī ekspertu zināšanas par kriptogrāfiju un publiskās atslēgas infrastruktūru (PKI). Tas nav pareizi.
Patiešām, katrai iekārtai ir jābūt derīgam TLS sertifikātam. Tie ir nepieciešami serveriem, konteineriem, virtuālajām mašīnām un pakalpojumu tīkliem. Taču atslēgu un sertifikātu skaits aug kā sniega pikas, un vadība ātri vien kļūst haotiska, dārga un riskanta, ja visu dari pats. Bez labas politikas īstenošanas un uzraudzības prakses uzņēmumi var ciest vāju sertifikātu vai neparedzētu derīguma termiņu dēļ.
GlobalSign un Venafi organizēja divas tīmekļa pārraides, lai palīdzētu devops. , bet otrais - ar lai savienotu PKI sistēmu no GlobalSign, izmantojot Venafi mākoni, izmantojot atvērtā pirmkoda rīkus, izmantojot HashiCorp Vault no Jenkins CI/CD konveijera.
Esošo sertifikātu pārvaldības procesu galvenās problēmas rada liels skaits procedūru:
- Pašparakstītu sertifikātu ģenerēšana OpenSSL.
- Strādājiet ar vairākiem HashiCorp Vault gadījumiem, lai pārvaldītu privātos CA vai pašparakstītos sertifikātus.
- Pieteikumu reģistrēšana uzticamiem sertifikātiem.
- Publisko mākoņu pakalpojumu sniedzēju sertifikātu izmantošana.
- Sertifikātu atjaunošanas automatizācija Let's Encrypt
- Savu skriptu rakstīšana
- DevOps rīku, piemēram, Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry, paškonfigurācija
Visas procedūras palielina kļūdu risku un ir laikietilpīgas. Venafi cenšas atrisināt šīs problēmas un atvieglot devopu dzīvi.
GlobalSign un Venafi demonstrācija sastāv no divām sadaļām. Pirmkārt, kā iestatīt Venafi Cloud un GlobalSign PKI. Tad kā to izmantot, lai pieprasītu sertifikātus saskaņā ar noteiktajām politikām, izmantojot pazīstamus rīkus.
Galvenās tēmas:
- Sertifikātu izsniegšanas automatizācija esošajās DevOps CI/CD metodoloģijās (piemēram, Jenkins).
- Tūlītēja piekļuve PKI un sertifikātu pakalpojumiem visā lietojumprogrammu kaudzē (sertifikātu izsniegšana divu sekunžu laikā)
- Publiskās atslēgas infrastruktūras standartizācija ar gataviem risinājumiem integrācijai ar konteineru orķestrēšanas, noslēpumu pārvaldības un automatizācijas platformām (piemēram, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack un citām). Vispārējā sertifikātu izsniegšanas shēma ir parādīta attēlā zemāk.
Shēma sertifikātu izsniegšanai, izmantojot HashiCorp Vault, Venafi Cloud un GlobalSign. Diagrammā CSR apzīmē sertifikāta parakstīšanas pieprasījumu. - Liela caurlaidspēja un uzticama PKI infrastruktūra dinamiskai, ļoti mērogojamai videi
- Drošības grupu izmantošana, izmantojot politikas un izsniegto sertifikātu redzamību
Šī pieeja ļauj organizēt uzticamu sistēmu, nekļūstot par kriptogrāfijas un PKI ekspertu.
Venafi noslēpumu dzinējs
Venafi pat apgalvo, ka ilgtermiņā tas ir ekonomiski izdevīgāks risinājums, jo neprasa augsti apmaksātu PKI speciālistu iesaisti un atbalsta izmaksas.
Risinājums ir pilnībā integrēts esošajā CI/CD konveijerā un aptver visas uzņēmuma sertifikātu vajadzības. Tādā veidā izstrādātāji un devops var strādāt ātrāk, nerisinot sarežģītas kriptogrāfijas problēmas.
Avots: www.habr.com