Utviklere har allerede mye arbeid å gjøre, og de er også pålagt å ha ekspertkunnskap om kryptografi og offentlig nøkkelinfrastruktur (PKI). Det er ikke riktig.
Faktisk må hver maskin ha et gyldig TLS-sertifikat. De er nødvendige for servere, containere, virtuelle maskiner og i tjenestenettverk. Men antallet nøkler og sertifikater vokser som en snøball, og ledelsen blir fort kaotisk, dyr og risikabel hvis du gjør alt selv. Uten god policyhåndhevelse og overvåkingspraksis kan bedrifter lide på grunn av svake sertifikater eller uventede utløp.
GlobalSign og Venafi organiserte to webcasts for å hjelpe devops.
Hovedproblemene med eksisterende sertifikatbehandlingsprosesser er forårsaket av et stort antall prosedyrer:
- Genererer selvsignerte sertifikater i OpenSSL.
- Arbeid med flere HashiCorp Vault-instanser for å administrere private CA eller selvsignerte sertifikater.
- Registrering av søknader om klarerte sertifikater.
- Bruke sertifikater fra offentlige skyleverandører.
- Automatiser Let's Encrypt sertifikatfornyelse
- Skrive dine egne manus
- Selvkonfigurasjon av DevOps-verktøy som Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Alle prosedyrer øker risikoen for feil og er tidkrevende. Venafi prøver å løse disse problemene og gjøre livet lettere for devops.
GlobalSign og Venafi-demoen består av to seksjoner. Først, hvordan sette opp Venafi Cloud og GlobalSign PKI. Deretter hvordan du bruker den til å be om sertifikater i henhold til etablerte retningslinjer, ved hjelp av kjente verktøy.
Sentrale emner:
- Automatisering av sertifikatutstedelse innenfor eksisterende DevOps CI/CD-metodikker (for eksempel Jenkins).
- Umiddelbar tilgang til PKI- og sertifikattjenester på tvers av hele applikasjonsstabelen (utstedelse av sertifikater innen to sekunder)
- Standardisering av offentlig nøkkelinfrastruktur med ferdige løsninger for integrasjon med containerorkestrering, hemmelighetshåndtering og automatiseringsplattformer (for eksempel Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack og andre). Den generelle ordningen for utstedelse av sertifikater er vist i illustrasjonen under.
Ordning for utstedelse av sertifikater gjennom HashiCorp Vault, Venafi Cloud og GlobalSign. I diagrammet står CSR for Certificate Signing Request. - Høy gjennomstrømning og pålitelig PKI-infrastruktur for dynamiske, svært skalerbare miljøer
- Bruk av sikkerhetsgrupper gjennom retningslinjer og synlighet av utstedte sertifikater
Denne tilnærmingen lar deg organisere et pålitelig system uten å være ekspert på kryptografi og PKI.
Venafi hevder til og med at det er en mer kostnadseffektiv løsning i det lange løp, siden den ikke krever involvering av høyt betalte PKI-spesialister og støttekostnader.
Løsningen er fullt integrert i eksisterende CI/CD-pipeline og dekker alle selskapets sertifikatbehov. På denne måten kan utviklere og devops jobbe raskere uten å måtte håndtere vanskelige kryptografiske problemer.
Kilde: www.habr.com