Geekly articles weekly

Verwalten von SSL / TLS-Zertifikaten in den Clouds und Containern - keine menschliche Arbeit


Aus der Venafi-Präsentation: Wie die manuelle Installation von Zertifikaten die kontinuierliche Integration und Bereitstellung von Anwendungen behindert

Cloud-Dienste und -Container sind zum De-facto-Standard für die Bereitstellung von Webanwendungen geworden. Die Integration von SSL / TLS-Zertifikaten in die DevOps-Umgebung bleibt jedoch zu kompliziert und zu langsam. Viele Aufgaben werden immer noch manuell ausgeführt, und dies ist eine sehr große Belastung für Entwickler. In einer virtuellen Umgebung mit Containern nimmt die Anzahl der Maschinen im Netzwerk dramatisch zu, und der Schutz der Maschinen-Maschinen-Verbindungen und der Kommunikation zwischen ihnen ist weiterhin erforderlich. Wenn in einer solchen Umgebung die Ausstellung von Zertifikaten und Verwaltungspraktiken schlecht etabliert ist, erhöht das Fehlen einer zuverlässigen Authentifizierung jedes Computers die Angriffsfläche.

Wenn alles manuell erledigt wird, legen Entwickler häufig Wert auf Geschwindigkeit und Einfachheit anstatt auf Sicherheit . Aus Gründen der Geschwindigkeit wählen sie manchmal einfachere Optionen: Erstellen einer eigenen Zertifizierungsstelle (CA) mit selbstsignierten Zertifikaten, schwachen Verschlüsselungsalgorithmen, Importieren nicht vertrauenswürdiger Stammzertifikate, unzureichender Schutz geheimer Schlüssel für Stammzertifizierungsstellen und Zwischenzertifizierungsstellen. Und manchmal verwenden Entwickler SSL / TLS überhaupt nicht, um die Kommunikation zwischen Maschinen und Containern zu verschlüsseln.

Um dieses Problem zu lösen, wurden mehrere neue Dienste auf den Markt gebracht, die sich direkt in den kontinuierlichen Integrations- / Lieferzyklus (CI / CD) integrieren und den Prozess automatisieren.

Diese Dienste bieten verbesserte Sicherheit und gesteigerte Entwicklungsproduktivität sowie die Einhaltung von Sicherheitsstandards wie PCI-DSS, NIST und HIPAA. Für den Support sind nur wenige Codezeilen erforderlich. Einer dieser Dienste wird seit April 2017 von Venafi bereitgestellt , das sich auf Informationssicherheitslösungen spezialisiert hat.


Venafi Cloud Place im CI / CD-Förderer

Venafi Cloud for DevOps ist ein integrierter Cloud-Dienst, der die Infrastruktur von kryptografischen Schlüsseln und digitalen Zertifikaten bequem in die beliebten DevOps-Unternehmensplattformen integriert. Das Unternehmen hat kürzlich die Integration von Venafi Cloud in die Public-Key-Infrastruktur von GlobalSign PKI angekündigt .

Venafi Cloud hilft bei der Verwaltung von SSL / TLS-Zertifikaten. Sie können die Plattform im Rahmen einer kostenlosen Beta testen.

Hauptmerkmale:


  • Verfolgung aller externen Zertifikate.
  • Kontinuierliche Überwachung und Anzeige, wo jedes interne Zertifikat installiert ist (ein leichter Scanner wird verwendet).
  • Identifizierung potenzieller Schwachstellen.
  • Automatische Anforderung und Erneuerung von Zertifikaten, Integration mit einer Zertifizierungsstelle. Zertifikate werden innerhalb von Sekunden geliefert. Ausstellen von Zertifikaten direkt an die CI / CD-Pipelines und Anwenden geeigneter Richtlinien für jede Umgebung.


  • Automatische Installation von Zertifikaten über die REST-API, Integration in DevOps-Tools und den ACME-Server (Automated Certificate Management Environment).
  • Berichterstellung.

Venafi Cloud bietet zunächst die Integration mit DevOps-Tools, einschließlich Hashicorp Terraform, Hashicorp Vault, SaltStack, Ansible, Docker und Jetstack Cert-Manager. Venafi Cloud und GlobalSign PKI DevOps bieten gut dokumentierte Standardschnittstellen, einschließlich der REST-API, des Open-Source-VCert-SDK (verfügbar in Go und Python) und ACME. Unternehmen jeder Größe können jetzt einen Maschinenidentifizierungsdienst in ihrer Hybridinfrastruktur und mehrere Clouds haben, wodurch die DevOps-Geschwindigkeit erhöht wird.



Die Hauptfunktionen von Venafi Cloud sind in der Tabelle aufgeführt.

FunktionBeschreibung
Containerisierung
  • Automatisieren Sie das Certificate Lifecycle Management mit Kubernetes und Jetstack Cert-Manager
  • Schlüsselgenerierungs- und Zertifikatanforderungen von Docker und dem Venafi Key Management-Container. Zertifikate werden anderen Containern auf demselben Docker-Host wie Venafi-Containern sicher zur Verfügung gestellt.
Orchestrierung
  • Verwendung von Terraform mit Schlüsselgenerierung, auf die in Plänen für die nahtlose Erfassung und Bereitstellung von Zertifikaten verwiesen werden kann.
Konfigurationsmanagement
  • Verwenden von SaltStack zur Vereinfachung des Abrufs und Bereitstellens von Zertifikaten und Verwendung der Venafi-Integration zum Übertragen von Zertifikaten über das Salt-Säulen-System.
Secrets Management
  • Durchsetzen von Richtlinien mit dem HashiCorp Vault für Zertifikate, die über die HashiCorp Vault-API ausgestellt wurden.
Support-Services
  • REST-API zum Anfordern von Zertifikaten, Anzeigen von Richtlinien zum Ausstellen von Zertifikaten, Anzeigen von ausgestellten Zertifikaten, direktes Übertragen von Zertifikaten an Microsoft Azure-Webanwendungen usw.
  • Schlüsselgenerierung zur Vereinfachung des Abrufs von Zertifikaten mit VCert, ohne dass Code geschrieben werden muss, der mit der Venafi REST-API interagiert.
  • Anwendungsentwickler können mithilfe des VCert SDK, eines in Go geschriebenen plattformübergreifenden Softwareentwicklungskits, Schlüsselgenerierungs- und Zertifikatverwaltungsaufgaben in benutzerdefinierte Anwendungen integrieren.
  • Automatisieren Sie die Zertifikatsverwaltung für externe Infrastrukturen, z. B. Lastausgleichssubsysteme, mithilfe des Venafi ACME-Servers mit GlobalSign- Zertifikaten.





Source: https://habr.com/ru/post/de455535/

More articles:


All Articles