Geekly articles weekly

Gérer les certificats SSL / TLS dans les nuages ​​et les conteneurs - pas du travail humain


From Venafi Presentation: Comment l'installation manuelle de certificats entrave l'intégration et le déploiement continus des applications

Les services et conteneurs cloud sont devenus de facto la norme pour le déploiement d'applications Web. Cependant, l'intégration des certificats SSL / TLS dans l'environnement DevOps reste trop compliquée et lente. De nombreuses tâches sont toujours effectuées manuellement, ce qui représente une très grosse charge pour les devops. Dans un environnement virtuel avec des conteneurs, le nombre de machines sur le réseau augmente considérablement et la protection des connexions machine-machine et des communications entre eux est toujours nécessaire. Si dans un tel environnement l'émission de certificats et de pratiques de gestion est mal établie, le manque d'authentification fiable de chaque machine augmente la surface d'attaque.

Si tout est fait manuellement, les développeurs privilégient souvent la vitesse et la simplicité plutôt que la sécurité . Parfois, par souci de rapidité, ils choisissent des options plus simples: créer votre propre autorité de certification (CA) avec des certificats auto-signés, des algorithmes de chiffrement faibles, importer des certificats racine non approuvés, une protection inadéquate des clés secrètes pour les autorités de certification racine et intermédiaires. Et parfois, les développeurs n'utilisent pas du tout SSL / TLS pour crypter les communications entre les machines et les conteneurs.

Pour résoudre ce problème, plusieurs nouveaux services sont apparus sur le marché qui s'intègrent directement dans le cycle continu d'intégration / livraison (CI / CD) et automatisent le processus.

Ces services offrent une sécurité améliorée et une productivité de développement accrue, ainsi que la conformité aux normes réglementaires de sécurité telles que PCI-DSS, NIST et HIPAA. Et le support ne nécessite que quelques lignes de code. L'un de ces services depuis avril 2017 est fourni par Venafi, spécialisé dans les solutions de sécurité de l'information.


Venafi Cloud Place dans le convoyeur CI / CD

Venafi Cloud for DevOps est un service cloud intégré qui intègre de manière pratique l'infrastructure de clés cryptographiques et de certificats numériques dans les plates-formes DevOps d'entreprise populaires. La société a récemment annoncé l'intégration de Venafi Cloud avec l'infrastructure à clé publique GlobalSign PKI.

Venafi Cloud aide à gérer les certificats SSL / TLS. Vous pouvez tester la plateforme dans le cadre d'une version bêta gratuite .

Caractéristiques clés:


  • Suivi de tous les certificats externes.
  • Surveillance et visualisation en continu où chaque certificat interne est installé (un scanner léger est utilisé).
  • Identification des vulnérabilités potentielles.
  • Demande et renouvellement automatiques des certificats, intégration avec une autorité de certification. Les certificats sont livrés en quelques secondes. Émettre des certificats directement aux pipelines CI / CD et appliquer des stratégies appropriées pour chaque environnement.


  • Installation automatique de certificats via l'API REST, intégration avec les outils DevOps et le serveur ACME (Automated Certificate Management Environment).
  • Génération de rapports.

Venafi Cloud propose initialement une intégration avec les outils DevOps, notamment Hashicorp Terraform, Hashicorp Vault, SaltStack, Ansible, Docker et Jetstack Cert-Manager. Venafi Cloud et GlobalSign PKI DevOps fournissent des interfaces standard bien documentées, notamment l'API REST, le SDK VCert open source (disponible dans Go et Python) et ACME. Les entreprises de toutes tailles peuvent désormais disposer d'un service d'identification de machine dans leur infrastructure hybride et de plusieurs clouds, ce qui permet d'augmenter la vitesse DevOps.



Les principales fonctions de Venafi Cloud sont répertoriées dans le tableau.

FonctionLa description
Conteneurisation
  • Automatisez la gestion du cycle de vie des certificats avec Kubernetes et Jetstack Cert-Manager
  • Génération de clés et demandes de certificats de Docker et du conteneur Venafi Key Management. Les certificats sont fournis en toute sécurité à d'autres conteneurs sur le même hôte Docker que les conteneurs Venafi.
Orchestration
  • Utilisation de Terraform avec la génération de clés, qui peut être référencée dans les plans pour l'acquisition et le déploiement transparents de certificats.
Gestion de la configuration
  • Utilisation de SaltStack pour simplifier le processus d'obtention et de déploiement de certificats, utilisation de l'intégration de Venafi pour transférer des certificats via le système de piliers Salt.
Gestion des secrets
  • Application des stratégies avec HashiCorp Vault pour les certificats émis via l'API HashiCorp Vault.
Services de support
  • API REST pour demander des certificats, afficher les politiques d'émission de certificats, afficher les certificats émis, transférer des certificats directement vers les applications Web Microsoft Azure, etc.
  • Génération de clés pour simplifier l'obtention de certificats à l'aide de VCert, sans avoir à écrire du code qui interagit avec l'API Venafi REST.
  • Les développeurs d'applications peuvent intégrer des tâches de génération de clés et de gestion de certificats dans des applications personnalisées à l'aide du VCert SDK, un kit de développement logiciel multiplateforme écrit en Go.
  • Automatisez la gestion des certificats pour les infrastructures externes, telles que les sous-systèmes d'équilibrage de charge, à l'aide du serveur Venafi ACME avec des certificats GlobalSign .





Source: https://habr.com/ru/post/fr455535/

More articles:


All Articles