Ključne integracije Venafi
Razvijalci imajo že tako veliko dela, zahtevajo pa tudi strokovno znanje o kriptografiji in infrastrukturi javnih ključev (PKI). Ni prav.
Pravzaprav mora imeti vsaka naprava veljavno potrdilo TLS. Potrebni so za strežnike, vsebnike, virtualne stroje in storitvena omrežja. Toda število ključev in certifikatov raste kot snežna kepa, upravljanje pa hitro postane kaotično, drago in tvegano, če vse naredite sami. Brez dobrih praks uveljavljanja politik in spremljanja lahko podjetja trpijo zaradi šibkih certifikatov ali nepričakovanih iztekov.
GlobalSign in Venafi sta organizirala dve spletni oddaji za pomoč devops. , in drugi - z za povezavo sistema PKI iz GlobalSign prek oblaka Venafi z uporabo odprtokodnih orodij prek HashiCorp Vault iz cevovoda Jenkins CI/CD.
Glavne težave obstoječih procesov upravljanja certifikatov povzroča veliko število postopkov:
- Ustvarjanje samopodpisanih potrdil v OpenSSL.
- Delajte z več instancami HashiCorp Vault za upravljanje zasebnih CA ali samopodpisanih potrdil.
- Registracija vlog za zaupanja vredna potrdila.
- Uporaba certifikatov ponudnikov javnega oblaka.
- Avtomatizirajte obnovo certifikata Let's Encrypt
- Pisanje lastnih scenarijev
- Samokonfiguracija orodij DevOps, kot so Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Vsi postopki povečujejo tveganje napak in so dolgotrajni. Venafi poskuša rešiti te težave in devopsom olajšati življenje.
Predstavitev GlobalSign in Venafi je sestavljena iz dveh delov. Najprej, kako nastaviti Venafi Cloud in GlobalSign PKI. Potem, kako ga uporabiti za zahtevanje potrdil v skladu z uveljavljenimi politikami z uporabo znanih orodij.
Ključne teme:
- Avtomatizacija izdaje potrdil v okviru obstoječih metodologij DevOps CI/CD (na primer Jenkins).
- Takojšen dostop do PKI in storitev potrdil v celotnem skladu aplikacij (izdaja potrdil v dveh sekundah)
- Standardizacija infrastrukture javnih ključev z že pripravljenimi rešitvami za integracijo s platformami za orkestracijo vsebnikov, upravljanje skrivnosti in avtomatizacijo (na primer Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack in druge). Splošna shema izdajanja potrdil je prikazana na spodnji sliki.
Shema za izdajanje certifikatov prek HashiCorp Vault, Venafi Cloud in GlobalSign. V diagramu CSR pomeni zahtevo za podpis potrdila. - Visoka prepustnost in zanesljiva infrastruktura PKI za dinamična, zelo razširljiva okolja
- Uporaba varnostnih skupin preko politik in vidnosti izdanih certifikatov
Ta pristop vam omogoča, da organizirate zanesljiv sistem, ne da bi bili strokovnjak za kriptografijo in PKI.
Venafi Secrets Engine
Venafi celo trdi, da je to dolgoročno stroškovno učinkovitejša rešitev, saj ne zahteva vključevanja visoko plačanih strokovnjakov za PKI in stroškov podpore.
Rešitev je v celoti integrirana v obstoječi cevovod CI/CD in pokriva vse potrebe podjetja po certifikatih. Na ta način lahko razvijalci in devops delajo hitreje, ne da bi se morali ukvarjati s težkimi kriptografskimi težavami.
Vir: www.habr.com