Помощь девопсам по внедрению PKI

от автора


Ключевые интеграции Venafi

У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI). Это неправильно.

Действительно, у каждой машины должен быть валидный TLS-сертификат. Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия.

GlobalSign и Venafi организовали два вебкаста в помощь девопсам. Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.

Основные проблемы существующих процессов по управлению сертификатами вызваны большим количеством процедур:

  • Генерация самоподписанных сертификатов в OpenSSL.
  • Работа с множеством инстансов HashiCorp Vault для управления частным центром сертификации или самоподписанными сертификатами.
  • Оформление заявок на доверенные сертификаты.
  • Использование сертификатов от публичных облачных провайдеров.
  • Автоматизация обновления сертификатов Let’s Encrypt
  • Написание собственных скриптов
  • Самостоятельная настройка инструментов для DevOps вроде Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry

Все процедуры повышают риск ошибки и отнимают много времени. Venafi пытается решить эти проблемы и упростить жизнь девопсам.

Демо GlobalSign и Venafi состоит из двух разделов. Во-первых, как настроить Venafi Cloud и GlobalSign PKI. Затем, как его использовать для запроса сертификатов согласно установленным политикам, с помощью знакомых инструментов.

Ключевые темы:

  • Автоматизация выдачи сертификатов в рамках существующих методик DevOps CI/CD (например, Jenkins).
  • Мгновенный доступ к PKI и службам сертификации по всему стеку приложений (выдача сертификатов в течение двух секунд)
  • Стандартизация инфраструктуры открытых ключей с готовые решения по интеграции с платформами оркестровки контейнеров, управления секретами и автоматизации (например, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack и другие). Общая схема выдачи сертификатов показана на иллюстрации ниже.


    Схема выдачи сертификатов через HashiCorp Vault, Venafi Cloud и GlobalSign. На схеме CSR означает «запрос на подпись сертификата» (Certificate Signing Request)

  • Высокая пропускная способность и надёжная инфраструктура PKI для динамических, сильно масштабируемых сред
  • Использование групп безопасности через политики и видимость выданных сертификатов

Подобный подход позволяет организовать надёжную систему, не будучи экспертом в криптографии и PKI.


Venafi Secrets Engine

Venafi даже уверяет, что в конечном итоге это более экономичное решение, поскольку не требует привлечения высокооплачиваемых специалистов по PKI и расходов на поддержку.

Решение полностью интегрируется в существующий конвейер CI/CD и покрывает все потребности компании в сертификатах. Таким образом, разработчики и девопсы могут работать быстрее и не разбираться с трудными криптографическими вопросами.


ссылка на оригинал статьи https://habr.com/ru/company/globalsign/blog/476186/