Venafi Key-integraties
Ontwikkelaars hebben al veel werk te doen, en ze moeten ook over deskundige kennis beschikken op het gebied van cryptografie en public key infrastructure (PKI). Het is niet goed.
Iedere machine moet immers beschikken over een geldig TLS-certificaat. Ze zijn nodig voor servers, containers, virtuele machines en in servicemeshes. Maar het aantal sleutels en certificaten groeit als een sneeuwbal en het beheer wordt al snel chaotisch, duur en riskant als je alles zelf doet. Zonder goede beleidshandhaving en monitoringpraktijken kunnen bedrijven last krijgen van zwakke certificaten of onverwachte vervaldata.
GlobalSign en Venafi organiseerden twee webcasts om ontwikkelaars te helpen. , en de tweede - met om het PKI-systeem van GlobalSign via de Venafi-cloud te verbinden met behulp van open source-tools via HashiCorp Vault uit de Jenkins CI/CD-pijplijn.
De belangrijkste problemen van bestaande certificaatbeheerprocessen worden veroorzaakt door een groot aantal procedures:
- Zelfondertekende certificaten genereren in OpenSSL.
- Werk met meerdere HashiCorp Vault-instanties om privé-CA-certificaten of zelfondertekende certificaten te beheren.
- Registratie van aanvragen voor vertrouwde certificaten.
- Gebruik maken van certificaten van publieke cloudproviders.
- Automatisering van Let's Encrypt-certificaatverlengingen
- Je eigen scripts schrijven
- Zelfconfiguratie van DevOps-tools zoals Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Alle procedures verhogen de kans op fouten en zijn tijdrovend. Venafi probeert deze problemen op te lossen en het leven van ontwikkelaars gemakkelijker te maken.
De demo van GlobalSign en Venafi bestaat uit twee delen. Ten eerste: hoe u Venafi Cloud en GlobalSign PKI instelt. Vervolgens hoe u het kunt gebruiken om certificaten aan te vragen volgens vastgesteld beleid, met behulp van bekende tools.
Belangrijkste onderwerpen:
- Automatisering van certificaatuitgifte binnen bestaande DevOps CI/CD-methodieken (bijvoorbeeld Jenkins).
- Directe toegang tot PKI- en certificaatdiensten over de gehele applicatiestack (certificaten uitgeven binnen twee seconden)
- Standaardisatie van de publieke sleutelinfrastructuur met kant-en-klare oplossingen voor integratie met containerorkestratie, geheimenbeheer en automatiseringsplatforms (bijvoorbeeld Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack en anderen). Het algemene schema voor de uitgifte van certificaten wordt weergegeven in de onderstaande afbeelding.
Regeling voor het uitgeven van certificaten via HashiCorp Vault, Venafi Cloud en GlobalSign. In het diagram staat CSR voor Certificate Signing Request. - Hoge doorvoer en betrouwbare PKI-infrastructuur voor dynamische, zeer schaalbare omgevingen
- Beveiligingsgroepen gebruiken via beleid en zichtbaarheid van uitgegeven certificaten
Met deze aanpak kunt u een betrouwbaar systeem organiseren zonder een expert te zijn in cryptografie en PKI.
Venafi geheimen-engine
Venafi beweert zelfs dat het op de lange termijn een kosteneffectievere oplossing is, omdat er geen hoogbetaalde PKI-specialisten en ondersteuningskosten voor nodig zijn.
De oplossing is volledig geïntegreerd in de bestaande CI/CD-pijplijn en dekt alle certificaatbehoeften van het bedrijf. Op deze manier kunnen ontwikkelaars en ontwikkelaars sneller werken zonder dat ze met moeilijke cryptografische problemen te maken krijgen.
Bron: www.habr.com