Deweloperzy mają już dużo pracy, wymagana jest także specjalistyczna wiedza z zakresu kryptografii i infrastruktury klucza publicznego (PKI). To nie jest właściwe.
Rzeczywiście każda maszyna musi posiadać ważny certyfikat TLS. Są potrzebne w serwerach, kontenerach, maszynach wirtualnych i w siatkach usług. Ale liczba kluczy i certyfikatów rośnie jak kula śnieżna, a zarządzanie szybko staje się chaotyczne, kosztowne i ryzykowne, jeśli robisz wszystko sam. Bez dobrych praktyk w zakresie egzekwowania zasad i monitorowania firmy mogą ucierpieć z powodu słabych certyfikatów lub nieoczekiwanego wygaśnięcia.
GlobalSign i Venafi zorganizowały dwa webcasty, aby pomóc deweloperom.
Główne problemy istniejących procesów zarządzania certyfikatami spowodowane są dużą liczbą procedur:
- Generowanie certyfikatów z podpisem własnym w OpenSSL.
- Pracuj z wieloma instancjami HashiCorp Vault, aby zarządzać prywatnym urzędem certyfikacji lub certyfikatami z podpisem własnym.
- Rejestracja wniosków o certyfikaty zaufane.
- Korzystanie z certyfikatów dostawców chmury publicznej.
- Zautomatyzuj odnawianie certyfikatu Let's Encrypt
- Pisanie własnych skryptów
- Samodzielna konfiguracja narzędzi DevOps takich jak Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Wszystkie procedury zwiększają ryzyko błędu i są czasochłonne. Venafi stara się rozwiązać te problemy i ułatwić życie devopsom.
Demo GlobalSign i Venafi składa się z dwóch sekcji. Najpierw jak skonfigurować Venafi Cloud i GlobalSign PKI. W takim razie jak go używać do żądania certyfikatów zgodnie z ustalonymi zasadami, przy użyciu znanych narzędzi.
Kluczowe tematy:
- Automatyzacja wydawania certyfikatów w ramach istniejących metodologii DevOps CI/CD (np. Jenkins).
- Natychmiastowy dostęp do usług PKI i certyfikatów w całym stosie aplikacji (wydawanie certyfikatów w ciągu dwóch sekund)
- Standaryzacja infrastruktury klucza publicznego za pomocą gotowych rozwiązań do integracji z orkiestracją kontenerów, zarządzaniem sekretami i platformami automatyzacji (np. Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack i inne). Ogólny schemat wydawania certyfikatów przedstawia poniższa ilustracja.
Schemat wydawania certyfikatów poprzez HashiCorp Vault, Venafi Cloud i GlobalSign. Na diagramie CSR oznacza żądanie podpisania certyfikatu. - Wysoka przepustowość i niezawodna infrastruktura PKI dla dynamicznych, wysoce skalowalnych środowisk
- Korzystanie z grup zabezpieczeń poprzez polityki i widoczność wystawionych certyfikatów
Takie podejście pozwala zorganizować niezawodny system bez konieczności bycia ekspertem w dziedzinie kryptografii i PKI.
Venafi twierdzi nawet, że na dłuższą metę jest to rozwiązanie bardziej opłacalne, gdyż nie wymaga zaangażowania wysoko opłacanych specjalistów PKI i kosztów wsparcia.
Rozwiązanie jest w pełni zintegrowane z istniejącym rurociągiem CI/CD i pokrywa wszystkie potrzeby firmy w zakresie certyfikatów. W ten sposób programiści i devopsowie mogą pracować szybciej, bez konieczności radzenia sobie z trudnymi problemami kryptograficznymi.
Źródło: www.habr.com