Vývojári už majú za sebou veľa práce a tiež sa od nich vyžaduje, aby mali odborné znalosti v oblasti kryptografie a infraštruktúry verejných kľúčov (PKI). nie je to správne.
V skutočnosti musí mať každý stroj platný certifikát TLS. Sú potrebné pre servery, kontajnery, virtuálne stroje a servisné siete. Počet kľúčov a certifikátov však rastie ako snehová guľa a riadenie sa rýchlo stáva chaotickým, drahým a riskantným, ak robíte všetko sami. Bez dobrých postupov presadzovania a monitorovania politiky môžu podniky trpieť slabými certifikátmi alebo neočakávaným vypršaním platnosti.
GlobalSign a Venafi zorganizovali dve webové vysielania, aby pomohli vývojárom.
Hlavné problémy existujúcich procesov správy certifikátov sú spôsobené veľkým počtom procedúr:
- Generovanie certifikátov s vlastným podpisom v OpenSSL.
- Pracujte s viacerými inštanciami HashiCorp Vault na správu súkromných CA alebo certifikátov s vlastným podpisom.
- Registrácia žiadostí o dôveryhodné certifikáty.
- Používanie certifikátov od poskytovateľov verejného cloudu.
- Automatizujte obnovu certifikátu Let's Encrypt
- Písanie vlastných skriptov
- Vlastná konfigurácia nástrojov DevOps, ako sú Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Všetky postupy zvyšujú riziko chyby a sú časovo náročné. Venafi sa snaží vyriešiť tieto problémy a uľahčiť život devopom.
Ukážka GlobalSign a Venafi pozostáva z dvoch častí. Po prvé, ako nastaviť Venafi Cloud a GlobalSign PKI. Potom, ako ho použiť na vyžiadanie certifikátov podľa zavedených zásad, pomocou známych nástrojov.
Kľúčové témy:
- Automatizácia vydávania certifikátov v rámci existujúcich metodológií DevOps CI/CD (napríklad Jenkins).
- Okamžitý prístup k PKI a certifikačným službám v rámci celého zásobníka aplikácií (vydávanie certifikátov do dvoch sekúnd)
- Štandardizácia infraštruktúry verejných kľúčov s hotovými riešeniami pre integráciu s kontajnerovou orchestráciou, správou tajomstiev a automatizačnými platformami (napríklad Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack a ďalšie). Všeobecná schéma vydávania certifikátov je znázornená na obrázku nižšie.
Schéma na vydávanie certifikátov prostredníctvom HashiCorp Vault, Venafi Cloud a GlobalSign. V diagrame CSR znamená Certificate Signing Request. - Vysoká priepustnosť a spoľahlivá infraštruktúra PKI pre dynamické, vysoko škálovateľné prostredia
- Používanie bezpečnostných skupín prostredníctvom politík a viditeľnosti vydaných certifikátov
Tento prístup vám umožňuje zorganizovať spoľahlivý systém bez toho, aby ste boli odborníkom na kryptografiu a PKI.
Venafi dokonca tvrdí, že je to z dlhodobého hľadiska nákladovo efektívnejšie riešenie, keďže nevyžaduje zapojenie vysoko platených špecialistov na PKI a náklady na podporu.
Riešenie je plne integrované do existujúceho potrubia CI/CD a pokrýva všetky potreby certifikátov spoločnosti. Týmto spôsobom môžu vývojári a vývojári pracovať rýchlejšie bez toho, aby museli riešiť zložité kryptografické problémy.
Zdroj: hab.com