Integrasi Utama Venafi
Pembangun sudah mempunyai banyak kerja yang perlu dilakukan, dan mereka juga dikehendaki mempunyai pengetahuan pakar tentang kriptografi dan infrastruktur kunci awam (PKI). Ia tidak betul.
Sesungguhnya, setiap mesin mesti mempunyai sijil TLS yang sah. Ia diperlukan untuk pelayan, bekas, mesin maya, dan dalam jaringan perkhidmatan. Tetapi bilangan kunci dan sijil bertambah seperti bola salji, dan pengurusan dengan cepat menjadi huru-hara, mahal dan berisiko jika anda melakukan semuanya sendiri. Tanpa penguatkuasaan dasar dan amalan pemantauan yang baik, perniagaan boleh menderita akibat sijil yang lemah atau tamat tempoh yang tidak dijangka.
GlobalSign dan Venafi menganjurkan dua siaran web untuk membantu devops. , dan yang kedua - dengan untuk menyambungkan sistem PKI daripada GlobalSign melalui awan Venafi menggunakan alatan sumber terbuka melalui HashiCorp Vault daripada saluran paip Jenkins CI/CD.
Masalah utama proses pengurusan sijil sedia ada disebabkan oleh sejumlah besar prosedur:
- Menjana sijil yang ditandatangani sendiri dalam OpenSSL.
- Bekerja dengan berbilang contoh HashiCorp Vault untuk mengurus CA persendirian atau sijil yang ditandatangani sendiri.
- Pendaftaran permohonan sijil yang dipercayai.
- Menggunakan sijil daripada pembekal awan awam.
- Automatikkan pembaharuan sijil Mari Sulitkan
- Menulis skrip anda sendiri
- Konfigurasi sendiri alatan DevOps seperti Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Semua prosedur meningkatkan risiko kesilapan dan memakan masa. Venafi cuba menyelesaikan masalah ini dan menjadikan hidup lebih mudah untuk devops.
Demo GlobalSign dan Venafi terdiri daripada dua bahagian. Pertama, cara menyediakan Venafi Cloud dan GlobalSign PKI. Kemudian cara menggunakannya untuk meminta sijil mengikut dasar yang ditetapkan, menggunakan alat biasa.
Topik utama:
- Automasi pengeluaran sijil dalam metodologi CI/CD DevOps sedia ada (contohnya, Jenkins).
- Akses segera kepada PKI dan perkhidmatan sijil merentas keseluruhan timbunan aplikasi (mengeluarkan sijil dalam masa dua saat)
- Penyeragaman infrastruktur kunci awam dengan penyelesaian sedia untuk penyepaduan dengan orkestrasi kontena, pengurusan rahsia dan platform automasi (contohnya, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack dan lain-lain). Skim umum untuk mengeluarkan sijil ditunjukkan dalam ilustrasi di bawah.
Skim untuk mengeluarkan sijil melalui HashiCorp Vault, Venafi Cloud dan GlobalSign. Dalam rajah, CSR bermaksud Permintaan Menandatangani Sijil. - Prestasi tinggi dan infrastruktur PKI yang boleh dipercayai untuk persekitaran yang dinamik dan sangat berskala
- Menggunakan kumpulan keselamatan melalui dasar dan keterlihatan sijil yang dikeluarkan
Pendekatan ini membolehkan anda mengatur sistem yang boleh dipercayai tanpa menjadi pakar dalam kriptografi dan PKI.
Enjin Rahsia Venafi
Venafi malah mendakwa bahawa ia adalah penyelesaian yang lebih kos efektif dalam jangka masa panjang, kerana ia tidak memerlukan penglibatan pakar PKI bergaji tinggi dan kos sokongan.
Penyelesaian itu disepadukan sepenuhnya ke dalam saluran paip CI/CD sedia ada dan meliputi semua keperluan sijil syarikat. Dengan cara ini, pembangun dan devops boleh bekerja dengan lebih pantas tanpa perlu menangani isu kriptografi yang sukar.
Sumber: www.habr.com