Geekly articles weekly

Administrar certificados SSL / TLS en las nubes y contenedores, no trabajo humano


De la presentaci贸n de Venafi: c贸mo la instalaci贸n manual de certificados dificulta la integraci贸n y el despliegue continuo de aplicaciones

Los servicios y contenedores en la nube se han convertido en el est谩ndar de facto para implementar aplicaciones web. Sin embargo, la integraci贸n de los certificados SSL / TLS en el entorno DevOps sigue siendo demasiado complicada y lenta. Muchas tareas a煤n se realizan manualmente, y esta es una carga muy grande en los devops. En un entorno virtual con contenedores, la cantidad de m谩quinas en la red aumenta dr谩sticamente, y a煤n se necesita la protecci贸n de las conexiones m谩quina-m谩quina y las comunicaciones entre ellas. Si en dicho entorno la emisi贸n de certificados y pr谩cticas de gesti贸n est谩 mal establecida, la falta de autenticaci贸n confiable de cada m谩quina aumenta la superficie de ataque.

Si todo se hace manualmente, los desarrolladores suelen dar prioridad a la velocidad y la simplicidad, en lugar de la seguridad . A veces, en aras de la velocidad, eligen opciones m谩s simples: crear su propia autoridad de certificaci贸n (CA) con certificados autofirmados, algoritmos de cifrado d茅biles, importar certificados ra铆z no confiables, protecci贸n inadecuada de claves secretas para CA ra铆z e intermedias. Y a veces los desarrolladores no usan SSL / TLS para cifrar las comunicaciones entre m谩quinas y contenedores.

Para resolver este problema, aparecieron varios servicios nuevos en el mercado que se integran directamente en el ciclo continuo de integraci贸n / entrega (CI / CD) y automatizan el proceso.

Estos servicios ofrecen una seguridad mejorada y una mayor productividad de desarrollo, as铆 como tambi茅n el cumplimiento de los est谩ndares regulatorios de seguridad como PCI-DSS, NIST e HIPAA. Y el soporte requiere solo unas pocas l铆neas de c贸digo. Venafi, uno de estos servicios desde abril de 2017, es especialista en soluciones de seguridad de la informaci贸n.


Venafi Cloud Place en CI / CD Conveyor

Venafi Cloud for DevOps es un servicio en la nube integrado que integra convenientemente la infraestructura de claves criptogr谩ficas y certificados digitales en las populares plataformas corporativas DevOps. La compa帽铆a anunci贸 recientemente la integraci贸n de Venafi Cloud con la infraestructura de clave p煤blica GlobalSign PKI.

Venafi Cloud ayuda a administrar los certificados SSL / TLS. Puede probar la plataforma como parte de una versi贸n beta gratuita .

Caracter铆sticas clave:


  • Seguimiento de todos los certificados externos.
  • Monitoreo y visualizaci贸n continuos donde se instala cada certificado interno (se utiliza un esc谩ner liviano).
  • Identificaci贸n de vulnerabilidades potenciales.
  • Solicitud autom谩tica y renovaci贸n de certificados, integraci贸n con una autoridad de certificaci贸n. Los certificados se entregan en segundos. Emitir certificados directamente a las canalizaciones de CI / CD y aplicar pol铆ticas apropiadas para cada entorno.


  • Instalaci贸n autom谩tica de certificados a trav茅s de la API REST, integraci贸n con herramientas DevOps y el servidor ACME (Entorno de gesti贸n de certificados automatizado).
  • Generaci贸n de informes.

Inicialmente, Venafi Cloud ofrece integraci贸n con las herramientas DevOps, que incluyen Hashicorp Terraform, Hashicorp Vault, SaltStack, Ansible, Docker y Jetstack Cert-Manager. Venafi Cloud y GlobalSign PKI DevOps proporcionan interfaces est谩ndar bien documentadas, incluida la API REST, el SDK de c贸digo abierto VCert (disponible en Go y Python) y ACME. Las empresas de todos los tama帽os ahora pueden tener un servicio de identificaci贸n de m谩quina en su infraestructura h铆brida y m煤ltiples nubes, lo que ayuda a aumentar la velocidad de DevOps.



Las funciones principales de Venafi Cloud se enumeran en la tabla.

Funci贸nDescripci贸n
Contenedorizaci贸n
  • Automatice la gesti贸n del ciclo de vida del certificado con Kubernetes y Jetstack Cert-Manager
  • Generaci贸n de claves y solicitudes de certificados de Docker y el contenedor Venafi Key Management. Los certificados se proporcionan de forma segura a otros contenedores en el mismo host Docker que los contenedores Venafi.
Orquestaci贸n
  • Uso de Terraform con la generaci贸n de claves, que se puede hacer referencia en los planes para la adquisici贸n y despliegue sin problemas de certificados.
Gesti贸n de la configuraci贸n
  • Usando SaltStack para simplificar el proceso de obtenci贸n e implementaci贸n de certificados, usando la integraci贸n de Venafi para transferir certificados a trav茅s del sistema de pilares Salt.
Manejo de secretos
  • Hacer cumplir pol铆ticas con HashiCorp Vault para certificados emitidos a trav茅s de la API de HashiCorp Vault.
Servicios de soporte
  • REST API para solicitar certificados, ver pol铆ticas para emitir certificados, ver certificados emitidos, transferir certificados directamente a aplicaciones web de Microsoft Azure, etc.
  • Generaci贸n de claves para simplificar la obtenci贸n de certificados utilizando VCert, sin tener que escribir c贸digo que interact煤e con la API REST de Venafi.
  • Los desarrolladores de aplicaciones pueden integrar la generaci贸n de claves y las tareas de administraci贸n de certificados en aplicaciones personalizadas utilizando VCert SDK, un kit de desarrollo de software multiplataforma escrito en Go.
  • Automatice la administraci贸n de certificados para infraestructura externa, como subsistemas de equilibrio de carga, utilizando el servidor Venafi ACME con certificados GlobalSign .





Source: https://habr.com/ru/post/455535/

More articles:


All Articles