Zhvilluesit tashmë kanë shumë punë për të bërë, dhe atyre u kërkohet gjithashtu të kenë njohuri eksperte të kriptografisë dhe infrastrukturës së çelësit publik (PKI). Nuk është e drejtë.
Në të vërtetë, çdo makinë duhet të ketë një certifikatë të vlefshme TLS. Ato nevojiten për serverë, kontejnerë, makina virtuale dhe rrjetë shërbimi. Por numri i çelësave dhe certifikatave rritet si një top bore, dhe menaxhimi bëhet shpejt kaotik, i shtrenjtë dhe i rrezikshëm nëse bëni gjithçka vetë. Pa praktika të mira të zbatimit dhe monitorimit të politikave, bizneset mund të vuajnë për shkak të certifikatave të dobëta ose skadimeve të papritura.
GlobalSign dhe Venafi organizuan dy transmetime në internet për të ndihmuar devops.
Problemet kryesore të proceseve ekzistuese të menaxhimit të certifikatave shkaktohen nga një numër i madh procedurash:
- Gjenerimi i certifikatave të vetë-nënshkruara në OpenSSL.
- Punoni me disa raste të HashiCorp Vault për të menaxhuar CA private ose certifikata të vetë-nënshkruara.
- Regjistrimi i aplikacioneve për certifikata të besuara.
- Përdorimi i certifikatave nga ofruesit publikë të cloud.
- Automate Le të Enkriptojmë rinovimin e certifikatës
- Shkrimi i skripteve tuaja
- Vetë-konfigurimi i mjeteve DevOps si Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Të gjitha procedurat rrisin rrezikun e gabimit dhe kërkojnë kohë. Venafi po përpiqet t'i zgjidhë këto probleme dhe t'ia lehtësojë jetën devops.
Demoja e GlobalSign dhe Venafi përbëhet nga dy seksione. Së pari, si të konfiguroni Venafi Cloud dhe GlobalSign PKI. Pastaj si ta përdorni për të kërkuar certifikata sipas politikave të vendosura, duke përdorur mjete të njohura.
Temat kryesore:
- Automatizimi i lëshimit të certifikatës brenda metodologjive ekzistuese të DevOps CI/CD (për shembull, Jenkins).
- Qasje e menjëhershme në shërbimet e PKI dhe certifikatave në të gjithë grupin e aplikacionit (lëshimi i certifikatave brenda dy sekondave)
- Standardizimi i infrastrukturës së çelësit publik me zgjidhje të gatshme për integrim me orkestrimin e kontejnerëve, menaxhimin e sekreteve dhe platformat e automatizimit (për shembull, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack dhe të tjerë). Skema e përgjithshme për lëshimin e certifikatave është paraqitur në ilustrimin e mëposhtëm.
Skema për lëshimin e certifikatave përmes HashiCorp Vault, Venafi Cloud dhe GlobalSign. Në diagram, CSR do të thotë Kërkesë për nënshkrimin e certifikatës. - Infrastrukturë PKI me kapacitet të lartë dhe të besueshme për mjedise dinamike dhe shumë të shkallëzueshme
- Përdorimi i grupeve të sigurisë përmes politikave dhe dukshmërisë së certifikatave të lëshuara
Kjo qasje ju lejon të organizoni një sistem të besueshëm pa qenë ekspert në kriptografi dhe PKI.
Madje, Venafi pretendon se është një zgjidhje më ekonomike në planin afatgjatë, pasi nuk kërkon përfshirjen e specialistëve të PKI-së me pagesë të lartë dhe kostot e mbështetjes.
Zgjidhja është plotësisht e integruar në tubacionin ekzistues CI/CD dhe mbulon të gjitha nevojat për certifikata të kompanisë. Në këtë mënyrë, zhvilluesit dhe zhvilluesit mund të punojnë më shpejt pa pasur nevojë të merren me çështje të vështira kriptografike.
Burimi: www.habr.com