Програмери већ имају доста посла, а такође се од њих захтева и стручно знање о криптографији и инфраструктури јавних кључева (ПКИ). То није у реду.
Заиста, свака машина мора имати важећи ТЛС сертификат. Потребни су за сервере, контејнере, виртуелне машине и у сервисним мрежама. Али број кључева и сертификата расте као грудва снега, а управљање брзо постаје хаотично, скупо и ризично ако све урадите сами. Без добре праксе спровођења политике и праћења, предузећа могу патити због слабих сертификата или неочекиваног истека.
ГлобалСигн и Венафи организовали су два веб преноса како би помогли девопсу.
Главни проблеми постојећих процеса управљања сертификатима су узроковани великим бројем процедура:
- Генерисање самопотписаних сертификата у ОпенССЛ-у.
- Радите са више ХасхиЦорп Ваулт инстанци за управљање приватним ЦА или самопотписаним сертификатима.
- Регистрација апликација за поуздане сертификате.
- Коришћење сертификата од провајдера јавног облака.
- Аутоматизујте обнављање сертификата Лет'с Енцрипт
- Писање сопствених скрипти
- Самоконфигурисање ДевОпс алата као што су Ред Хат Ансибле, Кубернетес, Пивотал Цлоуд Фоундри
Све процедуре повећавају ризик од грешке и одузимају много времена. Венафи покушава да реши ове проблеме и олакша живот девоповима.
ГлобалСигн и Венафи демо се састоји од два одељка. Прво, како да подесите Венафи Цлоуд и ГлобалСигн ПКИ. Затим како га користити за тражење сертификата у складу са утврђеним политикама, користећи познате алате.
Кључне теме:
- Аутоматизација издавања сертификата у оквиру постојећих ДевОпс ЦИ/ЦД методологија (на пример, Јенкинс).
- Тренутни приступ ПКИ-у и сервисима сертификата у целом стеку апликација (издавање сертификата у року од две секунде)
- Стандардизација инфраструктуре јавних кључева са готовим решењима за интеграцију са оркестрацијом контејнера, платформама за управљање тајнама и аутоматизацијом (на пример, Кубернетес, ОпенСхифт, Терраформ, ХасхиЦорп Ваулт, Ансибле, СалтСтацк и други). Општа шема за издавање сертификата приказана је на илустрацији испод.
Шема за издавање сертификата преко ХасхиЦорп Ваулт-а, Венафи Цлоуд-а и ГлобалСигн-а. У дијаграму, ЦСР означава захтев за потписивање сертификата. - Висока пропусност и поуздана ПКИ инфраструктура за динамична, високо скалабилна окружења
- Коришћење безбедносних група кроз политике и видљивост издатих сертификата
Овај приступ вам омогућава да организујете поуздан систем без да сте стручњак за криптографију и ПКИ.
Венафи чак тврди да је то дугорочно исплативије решење, јер не захтева ангажовање високо плаћених ПКИ стручњака и трошкове подршке.
Решење је у потпуности интегрисано у постојећи ЦИ/ЦД цевовод и покрива све потребе компаније за сертификатом. На овај начин, програмери и девопс могу радити брже без потребе да се баве тешким криптографским проблемима.
Извор: ввв.хабр.цом