Venafi Anahtar Entegrasyonları
Geliştiricilerin halihazırda yapacak çok işi var ve aynı zamanda kriptografi ve genel anahtar altyapısı (PKI) konusunda uzman bilgisine sahip olmaları da gerekiyor. Bu doğru değil.
Aslında her makinenin geçerli bir TLS sertifikası olması gerekir. Sunucular, konteynerler, sanal makineler ve hizmet ağları için bunlara ihtiyaç vardır. Ancak anahtarların ve sertifikaların sayısı kartopu gibi artıyor ve her şeyi kendiniz yaparsanız yönetim hızla kaotik, pahalı ve riskli hale geliyor. İyi politika uygulama ve izleme uygulamaları olmadan işletmeler, zayıf sertifikalar veya beklenmeyen son geçerlilik süreleri nedeniyle sıkıntı yaşayabilir.
GlobalSign ve Venafi, geliştiricilere yardımcı olmak için iki web yayını düzenledi. ve ikincisi - ile PKI sistemini GlobalSign'dan Venafi bulutu aracılığıyla, Jenkins CI/CD hattından HashiCorp Vault aracılığıyla açık kaynak araçları kullanarak bağlamak için.
Mevcut sertifika yönetimi süreçlerinin temel sorunları çok sayıda prosedürden kaynaklanmaktadır:
- OpenSSL'de kendinden imzalı sertifikalar oluşturma.
- Özel CA'yı veya kendinden imzalı sertifikaları yönetmek için birden fazla HashiCorp Vault örneğiyle çalışın.
- Güvenilir sertifikalar için başvuruların kaydedilmesi.
- Genel bulut sağlayıcılarının sertifikalarını kullanma.
- Let's Encrypt sertifika yenilemelerini otomatikleştirme
- Kendi senaryolarınızı yazma
- Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry gibi DevOps araçlarının kendi kendine yapılandırılması
Tüm prosedürler hata riskini artırır ve zaman alıcıdır. Venafi bu sorunları çözmeye ve devopların hayatını kolaylaştırmaya çalışıyor.
GlobalSign ve Venafi demosu iki bölümden oluşur. Öncelikle Venafi Cloud ve GlobalSign PKI nasıl kurulur. Daha sonra, tanıdık araçları kullanarak yerleşik politikalara göre sertifika istemek için nasıl kullanılacağı.
Önemli konular:
- Mevcut DevOps CI/CD metodolojileri (örneğin Jenkins) dahilinde sertifika verme otomasyonu.
- Tüm uygulama yığınında PKI ve sertifika hizmetlerine anında erişim (sertifikaların iki saniye içinde verilmesi)
- Konteyner orkestrasyonu, sır yönetimi ve otomasyon platformlarıyla (örneğin, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack ve diğerleri) entegrasyon için hazır çözümlerle genel anahtar altyapısının standartlaştırılması. Sertifika vermenin genel şeması aşağıdaki şekilde gösterilmektedir.
HashiCorp Vault, Venafi Cloud ve GlobalSign aracılığıyla sertifika verme planı. Diyagramda CSR, Sertifika İmzalama İsteği anlamına gelir. - Dinamik, üst düzeyde ölçeklenebilir ortamlar için yüksek verim ve güvenilir PKI altyapısı
- Politikalar aracılığıyla güvenlik gruplarını kullanma ve verilen sertifikaların görünürlüğü
Bu yaklaşım, kriptografi ve PKI konusunda uzman olmadan güvenilir bir sistem düzenlemenizi sağlar.
Venafi Sırlar Motoru
Venafi, yüksek ücretli PKI uzmanlarının katılımını ve destek masraflarını gerektirmediği için uzun vadede daha uygun maliyetli bir çözüm olduğunu bile iddia ediyor.
Çözüm, mevcut CI/CD hattına tam olarak entegre edilmiştir ve şirketin tüm sertifika ihtiyaçlarını karşılamaktadır. Bu şekilde geliştiriciler ve geliştiriciler zorlu kriptografik sorunlarla uğraşmak zorunda kalmadan daha hızlı çalışabilirler.
Kaynak: habr.com