Venafi nyckelintegrationer
Utvecklare har redan mycket arbete att göra, och de måste också ha expertkunskaper om kryptografi och offentlig nyckelinfrastruktur (PKI). Det är inte rätt.
Faktum är att varje maskin måste ha ett giltigt TLS-certifikat. De behövs för servrar, behållare, virtuella maskiner och i servicenät. Men antalet nycklar och certifikat växer som en snöboll och hanteringen blir snabbt kaotisk, dyr och riskabel om man gör allt själv. Utan bra policytillämpning och övervakningspraxis kan företag drabbas på grund av svaga certifikat eller oväntade utgångsdatum.
GlobalSign och Venafi organiserade två webbsändningar för att hjälpa devops. , och den andra - med att ansluta PKI-systemet från GlobalSign via Venafi-molnet med hjälp av verktyg med öppen källkod via HashiCorp Vault från Jenkins CI/CD-pipeline.
De största problemen med befintliga certifikathanteringsprocesser orsakas av ett stort antal procedurer:
- Generera självsignerade certifikat i OpenSSL.
- Arbeta med flera HashiCorp Vault-instanser för att hantera privata CA eller självsignerade certifikat.
- Registrering av ansökningar om betrodda certifikat.
- Använda certifikat från offentliga molnleverantörer.
- Automatisera Let's Encrypt-certifikatförnyelser
- Att skriva egna manus
- Självkonfiguration av DevOps-verktyg som Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Alla procedurer ökar risken för fel och är tidskrävande. Venafi försöker lösa dessa problem och göra livet lättare för devops.
GlobalSign och Venafi-demon består av två sektioner. Först, hur man ställer in Venafi Cloud och GlobalSign PKI. Sedan hur man använder det för att begära certifikat enligt etablerade policyer, med hjälp av välbekanta verktyg.
Viktiga ämnen:
- Automatisering av certifikatutfärdande inom befintliga DevOps CI/CD-metoder (till exempel Jenkins).
- Omedelbar tillgång till PKI och certifikattjänster över hela applikationsstacken (utfärdar certifikat inom två sekunder)
- Standardisering av publik nyckelinfrastruktur med färdiga lösningar för integration med containerorkestrering, hemlighetshantering och automationsplattformar (till exempel Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack och andra). Det allmänna systemet för att utfärda certifikat visas i illustrationen nedan.
Schema för att utfärda certifikat genom HashiCorp Vault, Venafi Cloud och GlobalSign. I diagrammet står CSR för Certificate Signing Request. - Hög genomströmning och pålitlig PKI-infrastruktur för dynamiska, mycket skalbara miljöer
- Använda säkerhetsgrupper genom policyer och synlighet för utfärdade certifikat
Detta tillvägagångssätt låter dig organisera ett tillförlitligt system utan att vara expert på kryptografi och PKI.
Venafi Secrets Engine
Venafi hävdar till och med att det är en mer kostnadseffektiv lösning i längden, eftersom den inte kräver inblandning av högt betalda PKI-specialister och supportkostnader.
Lösningen är helt integrerad i den befintliga CI/CD-pipeline och täcker alla företagets certifikatbehov. På så sätt kan utvecklare och devops arbeta snabbare utan att behöva ta itu med svåra kryptografiska problem.
Källa: will.com