Venafi Key Integrations
Marami nang dapat gawin ang mga dev, at kailangan din silang magkaroon ng ekspertong kaalaman sa cryptography at public key infrastructure (PKI). Ito ay hindi tama.
Sa katunayan, ang bawat makina ay dapat may wastong TLS certificate. Kinakailangan ang mga ito para sa mga server, container, virtual machine, at sa mga service meshes. Ngunit ang bilang ng mga susi at sertipiko ay lumalaki tulad ng isang snowball, at ang pamamahala ay mabilis na nagiging magulo, magastos at mapanganib kung gagawin mo ang lahat sa iyong sarili. Kung walang mahusay na pagpapatupad ng patakaran at mga kasanayan sa pagsubaybay, maaaring magdusa ang mga negosyo dahil sa mahinang mga certificate o hindi inaasahang expiration.
Ang GlobalSign at Venafi ay nag-organisa ng dalawang webcast upang matulungan ang mga devops. , at ang pangalawa - kasama upang ikonekta ang PKI system mula sa GlobalSign sa pamamagitan ng Venafi cloud gamit ang mga open source na tool sa pamamagitan ng HashiCorp Vault mula sa Jenkins CI/CD pipeline.
Ang mga pangunahing problema ng umiiral na mga proseso ng pamamahala ng sertipiko ay sanhi ng isang malaking bilang ng mga pamamaraan:
- Pagbuo ng mga self-signed certificate sa OpenSSL.
- Makipagtulungan sa maraming instance ng HashiCorp Vault para pamahalaan ang pribadong CA o mga self-sign na certificate.
- Pagpaparehistro ng mga aplikasyon para sa mga pinagkakatiwalaang sertipiko.
- Paggamit ng mga sertipiko mula sa mga pampublikong tagapagbigay ng ulap.
- I-automate ang pag-renew ng certificate ng Let's Encrypt
- Pagsusulat ng sarili mong script
- Self-configuration ng DevOps tool tulad ng Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Ang lahat ng mga pamamaraan ay nagdaragdag ng panganib ng pagkakamali at nakakaubos ng oras. Sinusubukan ni Venafi na lutasin ang mga problemang ito at gawing mas madali ang buhay para sa mga devops.
Ang GlobalSign at Venafi demo ay binubuo ng dalawang seksyon. Una, kung paano i-set up ang Venafi Cloud at GlobalSign PKI. Pagkatapos ay kung paano ito gamitin upang humiling ng mga sertipiko ayon sa itinatag na mga patakaran, gamit ang mga pamilyar na tool.
Mga pangunahing paksa:
- Automation ng pagpapalabas ng certificate sa loob ng mga kasalukuyang pamamaraan ng DevOps CI/CD (halimbawa, Jenkins).
- Instant na pag-access sa PKI at mga serbisyo ng certificate sa buong application stack (nagbibigay ng mga certificate sa loob ng dalawang segundo)
- Pag-standardize ng pampublikong pangunahing imprastraktura na may mga handa nang solusyon para sa pagsasama sa container orchestration, pamamahala ng mga lihim at mga automation na platform (halimbawa, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack at iba pa). Ang pangkalahatang pamamaraan para sa pag-isyu ng mga sertipiko ay ipinapakita sa ilustrasyon sa ibaba.
Scheme para sa pagbibigay ng mga sertipiko sa pamamagitan ng HashiCorp Vault, Venafi Cloud at GlobalSign. Sa diagram, ang CSR ay kumakatawan sa Certificate Signing Request. - Mataas na throughput at maaasahang imprastraktura ng PKI para sa mga dynamic, mataas na nasusukat na kapaligiran
- Paggamit ng mga grupo ng seguridad sa pamamagitan ng mga patakaran at visibility ng mga ibinigay na certificate
Ang diskarte na ito ay nagbibigay-daan sa iyo upang ayusin ang isang maaasahang sistema nang hindi eksperto sa cryptography at PKI.
Venafi Secrets Engine
Sinasabi pa nga ng Venafi na ito ay isang mas cost-effective na solusyon sa katagalan, dahil hindi ito nangangailangan ng pakikilahok ng mataas na bayad na mga espesyalista sa PKI at mga gastos sa suporta.
Ang solusyon ay ganap na isinama sa umiiral na pipeline ng CI/CD at sumasaklaw sa lahat ng pangangailangan ng certificate ng kumpanya. Sa ganitong paraan, maaaring gumana nang mas mabilis ang mga developer at devops nang hindi kailangang harapin ang mahihirap na isyu sa cryptographic.
Pinagmulan: www.habr.com