Venafi 關鍵集成
開發人員已經有很多工作要做,他們還需要具備密碼學和公鑰基礎設施 (PKI) 的專業知識。這是不對的。
事實上,每台機器都必須擁有有效的 TLS 憑證。伺服器、容器、虛擬機器和服務網格都需要它們。但密鑰和證書的數量像滾雪球一樣增長,如果你自己做所有事情,管理很快就會變得混亂、昂貴和危險。如果沒有良好的政策執行和監控實踐,企業可能會因證書薄弱或意外過期而遭受損失。
GlobalSign 和 Venafi 組織了兩次網路廣播來幫助開發人員。 ,第二個 - 與 使用開源工具透過 Jenkins CI/CD 管道中的 HashiCorp Vault 透過 Venafi 雲端連接 GlobalSign 的 PKI 系統。
現有證書管理流程的主要問題是由大量的程序造成的:
- 在 OpenSSL 中產生自簽名憑證。
- 使用多個 HashiCorp Vault 實例來管理私有 CA 或自簽章憑證。
- 可信賴證書申請的註冊。
- 使用公有雲提供者的憑證。
- 自動更新 Let's Encrypt 證書
- 編寫自己的腳本
- Red Hat Ansible、Kubernetes、Pivotal Cloud Foundry 等 DevOps 工具的自配置
所有程式都會增加出錯的風險並且非常耗時。 Venafi 正在努力解決這些問題,讓 DevOps 的生活變得更輕鬆。
GlobalSign 和 Venafi 演示由兩部分組成。首先,如何設定 Venafi Cloud 和 GlobalSign PKI。然後如何使用它根據既定策略,使用熟悉的工具來要求憑證。
關鍵主題:
- 現有 DevOps CI/CD 方法(例如 Jenkins)中證書頒發的自動化。
- 跨整個應用程式堆疊即時存取 PKI 和憑證服務(兩秒內頒發憑證)
- 透過現成的解決方案實現公鑰基礎設施的標準化,以便與容器編排、機密管理和自動化平台(例如 Kubernetes、OpenShift、Terraform、HashiCorp Vault、Ansible、SaltStack 等)整合。頒發證書的一般方案如下圖所示。
透過 HashiCorp Vault、Venafi Cloud 和 GlobalSign 頒發證書的方案。圖中,CSR 代表憑證簽署請求。 - 高吞吐量和可靠的 PKI 基礎設施,適用於動態、高度可擴展的環境
- 透過政策和已頒發憑證的可見性使用安全性群組
這種方法可讓您組織一個可靠的系統,而無需成為密碼學和 PKI 專家。
Venafi 秘密引擎
Venafi 甚至聲稱,從長遠來看,這是一個更具成本效益的解決方案,因為它不需要高薪 PKI 專家的參與和支援成本。
該解決方案完全整合到現有的 CI/CD 管道中,涵蓋公司的所有證書需求。這樣,開發人員和開發人員可以更快地工作,而不必處理困難的加密問題。
來源: www.habr.com