Os desenvolvedores já têm muito trabalho a fazer e também precisam ter conhecimento especializado em criptografia e infraestrutura de chave pública (PKI). Não é certo.
Na verdade, cada máquina deve ter um certificado TLS válido. Eles são necessários para servidores, contêineres, máquinas virtuais e malhas de serviço. Mas o número de chaves e certificados cresce como uma bola de neve e o gerenciamento rapidamente se torna caótico, caro e arriscado se você fizer tudo sozinho. Sem boas práticas de aplicação de políticas e monitoramento, as empresas podem sofrer devido a certificados fracos ou expirações inesperadas.
GlobalSign e Venafi organizaram dois webcasts para ajudar o DevOps.
Os principais problemas dos processos de gestão de certificados existentes são causados por um grande número de procedimentos:
- Gerando certificados autoassinados em OpenSSL.
- Trabalhe com várias instâncias do HashiCorp Vault para gerenciar CA privada ou certificados autoassinados.
- Registro de solicitações de certificados confiáveis.
- Usando certificados de provedores de nuvem pública.
- Automatize a renovação do certificado Let's Encrypt
- Escrevendo seus próprios roteiros
- Autoconfiguração de ferramentas DevOps como Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Todos os procedimentos aumentam o risco de erro e são demorados. Venafi está tentando resolver esses problemas e facilitar a vida dos devops.
A demonstração GlobalSign e Venafi consiste em duas seções. Primeiro, como configurar o Venafi Cloud e o GlobalSign PKI. Depois, como utilizá-lo para solicitar certificados de acordo com políticas estabelecidas, utilizando ferramentas familiares.
Tópicos chave:
- Automação da emissão de certificados dentro de metodologias DevOps CI/CD existentes (por exemplo, Jenkins).
- Acesso instantâneo a PKI e serviços de certificados em toda a pilha de aplicativos (emissão de certificados em dois segundos)
- Padronização da infraestrutura de chaves públicas com soluções prontas para integração com orquestração de containers, gerenciamento de segredos e plataformas de automação (por exemplo, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack e outros). O esquema geral de emissão de certificados é mostrado na ilustração abaixo.
Esquema de emissão de certificados através de HashiCorp Vault, Venafi Cloud e GlobalSign. No diagrama, CSR significa Solicitação de Assinatura de Certificado. - Infraestrutura PKI confiável e de alto rendimento para ambientes dinâmicos e altamente escaláveis
- Usando grupos de segurança por meio de políticas e visibilidade de certificados emitidos
Essa abordagem permite organizar um sistema confiável sem ser um especialista em criptografia e PKI.
Venafi ainda afirma que é uma solução mais econômica no longo prazo, uma vez que não requer o envolvimento de especialistas em PKI bem pagos e custos de suporte.
A solução está totalmente integrada ao pipeline de CI/CD existente e cobre todas as necessidades de certificados da empresa. Dessa forma, desenvolvedores e devops podem trabalhar mais rapidamente sem ter que lidar com problemas criptográficos difíceis.
Fonte: habr.com