Venafi Key Integrations
Dezvoltatorii au deja mult de lucru și, de asemenea, trebuie să aibă cunoștințe de specialitate despre criptografie și infrastructura cheii publice (PKI). Nu este corect.
Într-adevăr, fiecare mașină trebuie să aibă un certificat TLS valid. Sunt necesare pentru servere, containere, mașini virtuale și în rețele de serviciu. Dar numărul de chei și certificate crește ca un bulgăre de zăpadă, iar managementul devine rapid haotic, costisitor și riscant dacă faci totul singur. Fără bunele practici de aplicare și monitorizare a politicilor, companiile pot avea de suferit din cauza certificatelor slabe sau a expirărilor neașteptate.
GlobalSign și Venafi au organizat două webcast-uri pentru a ajuta devopii. , iar al doilea - cu pentru a conecta sistemul PKI de la GlobalSign prin cloud Venafi folosind instrumente open source prin HashiCorp Vault din conducta Jenkins CI/CD.
Principalele probleme ale proceselor existente de gestionare a certificatelor sunt cauzate de un număr mare de proceduri:
- Generarea de certificate autosemnate în OpenSSL.
- Lucrați cu mai multe instanțe HashiCorp Vault pentru a gestiona CA private sau certificate autosemnate.
- Înregistrarea cererilor pentru certificate de încredere.
- Utilizarea certificatelor de la furnizorii de cloud public.
- Automatizați reînnoirea certificatului Let's Encrypt
- Scrierea propriilor scenarii
- Auto-configurare a instrumentelor DevOps precum Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Toate procedurile cresc riscul de eroare și necesită timp. Venafi încearcă să rezolve aceste probleme și să facă viața mai ușoară devopților.
Demo-ul GlobalSign și Venafi este format din două secțiuni. În primul rând, cum să configurați Venafi Cloud și GlobalSign PKI. Apoi, cum să-l folosești pentru a solicita certificate conform politicilor stabilite, folosind instrumente familiare.
Subiecte cheie:
- Automatizarea emiterii certificatelor în cadrul metodologiilor DevOps CI/CD existente (de exemplu, Jenkins).
- Acces instantaneu la PKI și servicii de certificate în întreaga stivă de aplicații (emiterea certificatelor în două secunde)
- Standardizarea infrastructurii cu chei publice cu soluții gata făcute pentru integrarea cu platformele de orchestrare a containerelor, managementul secretelor și automatizare (de exemplu, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack și altele). Schema generală de eliberare a certificatelor este prezentată în ilustrația de mai jos.
Schemă de eliberare a certificatelor prin HashiCorp Vault, Venafi Cloud și GlobalSign. În diagramă, CSR înseamnă Cerere de semnare a certificatului. - Debit ridicat și infrastructură PKI fiabilă pentru medii dinamice, foarte scalabile
- Utilizarea grupurilor de securitate prin politici și vizibilitatea certificatelor emise
Această abordare vă permite să organizați un sistem de încredere fără a fi un expert în criptografie și PKI.
Venafi Secrets Engine
Venafi susține chiar că este o soluție mai rentabilă pe termen lung, deoarece nu necesită implicarea specialiștilor PKI foarte plătiți și costuri de suport.
Soluția este complet integrată în pipeline-ul CI/CD existent și acoperă toate nevoile de certificate ale companiei. În acest fel, dezvoltatorii și dezvoltatorii pot lucra mai repede, fără a fi nevoiți să se ocupe de probleme criptografice dificile.
Sursa: www.habr.com