Các nhà phát triển đã có rất nhiều việc phải làm và họ cũng được yêu cầu phải có kiến thức chuyên môn về mật mã và cơ sở hạ tầng khóa công khai (PKI). Nó không đúng.
Thật vậy, mọi máy đều phải có chứng chỉ TLS hợp lệ. Chúng cần thiết cho máy chủ, bộ chứa, máy ảo và trong các mạng dịch vụ. Nhưng số lượng khóa và chứng chỉ tăng lên như quả cầu tuyết và việc quản lý nhanh chóng trở nên hỗn loạn, tốn kém và rủi ro nếu bạn tự mình làm mọi việc. Nếu không thực thi và giám sát chính sách tốt, doanh nghiệp có thể gặp khó khăn do chứng chỉ yếu hoặc hết hạn ngoài dự kiến.
GlobalSign và Venafi đã tổ chức hai webcast để trợ giúp các nhà phát triển.
Các vấn đề chính của quy trình quản lý chứng chỉ hiện tại là do một số lượng lớn các thủ tục:
- Tạo chứng chỉ tự ký trong OpenSSL.
- Làm việc với nhiều phiên bản HashiCorp Vault để quản lý CA riêng tư hoặc chứng chỉ tự ký.
- Đăng ký các ứng dụng cho chứng chỉ tin cậy.
- Sử dụng chứng chỉ từ các nhà cung cấp đám mây công cộng.
- Tự động gia hạn chứng chỉ Let's Encrypt
- Viết kịch bản của riêng bạn
- Tự cấu hình các công cụ DevOps như Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Tất cả các thủ tục đều làm tăng nguy cơ sai sót và tốn thời gian. Venafi đang cố gắng giải quyết những vấn đề này và giúp cuộc sống của những người sùng đạo trở nên dễ dàng hơn.
Bản demo GlobalSign và Venafi bao gồm hai phần. Đầu tiên là cách thiết lập Venafi Cloud và GlobalSign PKI. Sau đó sử dụng nó như thế nào để yêu cầu chứng chỉ theo chính sách đã thiết lập, sử dụng các công cụ quen thuộc.
Các chủ đề chính:
- Tự động hóa việc cấp chứng chỉ trong các phương pháp DevOps CI/CD hiện có (ví dụ: Jenkins).
- Truy cập tức thì vào PKI và các dịch vụ chứng chỉ trên toàn bộ ngăn xếp ứng dụng (cấp chứng chỉ trong vòng hai giây)
- Tiêu chuẩn hóa cơ sở hạ tầng khóa công khai với các giải pháp làm sẵn để tích hợp với nền tảng điều phối container, quản lý bí mật và tự động hóa (ví dụ: Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack và các nền tảng khác). Sơ đồ chung để cấp chứng chỉ được thể hiện trong hình minh họa dưới đây.
Đề án cấp chứng chỉ thông qua HashiCorp Vault, Venafi Cloud và GlobalSign. Trong sơ đồ, CSR là viết tắt của Yêu cầu ký chứng chỉ. - Cơ sở hạ tầng PKI thông lượng cao và đáng tin cậy cho môi trường năng động, có khả năng mở rộng cao
- Sử dụng các nhóm bảo mật thông qua các chính sách và khả năng hiển thị của các chứng chỉ đã cấp
Cách tiếp cận này cho phép bạn tổ chức một hệ thống đáng tin cậy mà không cần phải là chuyên gia về mật mã và PKI.
Venafi thậm chí còn tuyên bố rằng đây là giải pháp tiết kiệm chi phí hơn về lâu dài vì nó không yêu cầu sự tham gia của các chuyên gia PKI được trả lương cao và chi phí hỗ trợ.
Giải pháp này được tích hợp hoàn toàn vào quy trình CI/CD hiện có và đáp ứng mọi nhu cầu về chứng chỉ của công ty. Bằng cách này, các nhà phát triển và nhà phát triển có thể làm việc nhanh hơn mà không phải xử lý các vấn đề khó khăn về mật mã.
Nguồn: www.habr.com