Хабрахабр

Помощь девопсам по внедрению PKI


Ключевые интеграции Venafi

Это неправильно. У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI).

Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Действительно, у каждой машины должен быть валидный TLS-сертификат. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно.

Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.
Основные проблемы существующих процессов по управлению сертификатами вызваны большим количеством процедур: GlobalSign и Venafi организовали два вебкаста в помощь девопсам.

  • Генерация самоподписанных сертификатов в OpenSSL.
  • Работа с множеством инстансов HashiCorp Vault для управления частным центром сертификации или самоподписанными сертификатами.
  • Оформление заявок на доверенные сертификаты.
  • Использование сертификатов от публичных облачных провайдеров.
  • Автоматизация обновления сертификатов Let's Encrypt
  • Написание собственных скриптов
  • Самостоятельная настройка инструментов для DevOps вроде Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry

Все процедуры повышают риск ошибки и отнимают много времени. Venafi пытается решить эти проблемы и упростить жизнь девопсам.

Во-первых, как настроить Venafi Cloud и GlobalSign PKI. Демо GlobalSign и Venafi состоит из двух разделов. Затем, как его использовать для запроса сертификатов согласно установленным политикам, с помощью знакомых инструментов.

Ключевые темы:

  • Автоматизация выдачи сертификатов в рамках существующих методик DevOps CI/CD (например, Jenkins).
  • Мгновенный доступ к PKI и службам сертификации по всему стеку приложений (выдача сертификатов в течение двух секунд)
  • Стандартизация инфраструктуры открытых ключей с готовые решения по интеграции с платформами оркестровки контейнеров, управления секретами и автоматизации (например, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack и другие). Общая схема выдачи сертификатов показана на иллюстрации ниже.

    На схеме CSR означает «запрос на подпись сертификата» (Certificate Signing Request)

    Схема выдачи сертификатов через HashiCorp Vault, Venafi Cloud и GlobalSign.

  • Высокая пропускная способность и надёжная инфраструктура PKI для динамических, сильно масштабируемых сред
  • Использование групп безопасности через политики и видимость выданных сертификатов

Подобный подход позволяет организовать надёжную систему, не будучи экспертом в криптографии и PKI.


Venafi Secrets Engine

Venafi даже уверяет, что в конечном итоге это более экономичное решение, поскольку не требует привлечения высокооплачиваемых специалистов по PKI и расходов на поддержку.

Таким образом, разработчики и девопсы могут работать быстрее и не разбираться с трудными криптографическими вопросами. Решение полностью интегрируется в существующий конвейер CI/CD и покрывает все потребности компании в сертификатах.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть