Geekly articles weekly

Mengelola sertifikat SSL / TLS di awan dan kontainer - bukan pekerjaan manusia


Dari Venafi Presentation: Bagaimana Instalasi Sertifikat Manual Menghambat Integrasi dan Penerapan Aplikasi Berkelanjutan

Layanan dan wadah Cloud telah menjadi standar de facto untuk menyebarkan aplikasi web. Namun, integrasi sertifikat SSL / TLS ke lingkungan DevOps tetap terlalu rumit dan lambat. Banyak tugas masih dilakukan secara manual, dan ini adalah beban yang sangat besar pada devops. Dalam lingkungan virtual dengan wadah, jumlah mesin di jaringan meningkat secara dramatis, dan perlindungan koneksi mesin-mesin dan komunikasi di antara mereka masih diperlukan. Jika dalam lingkungan seperti itu penerbitan sertifikat dan praktik manajemen kurang ditetapkan, kurangnya otentikasi yang dapat diandalkan dari setiap mesin meningkatkan permukaan serangan.

Jika semuanya dilakukan secara manual, maka pengembang sering mengutamakan kecepatan dan kesederhanaan, bukan keamanan . Terkadang, demi kecepatan, mereka memilih opsi yang lebih sederhana: membuat otoritas sertifikasi Anda sendiri (CA) dengan sertifikat yang ditandatangani sendiri, algoritme enkripsi yang lemah, mengimpor sertifikat root yang tidak terpercaya, perlindungan kunci kunci yang tidak memadai untuk CA root dan perantara. Dan terkadang devs tidak menggunakan SSL / TLS sama sekali untuk mengenkripsi komunikasi antara mesin dan kontainer.

Untuk mengatasi masalah ini, beberapa layanan baru muncul di pasar yang berintegrasi langsung ke dalam siklus integrasi / pengiriman berkelanjutan (CI / CD) dan mengotomatiskan proses.

Layanan ini menawarkan keamanan yang ditingkatkan dan peningkatan produktivitas pengembangan, serta kepatuhan dengan standar peraturan keamanan seperti PCI-DSS, NIST, dan HIPAA. Dan dukungan hanya membutuhkan beberapa baris kode. Salah satu layanan ini sejak April 2017 disediakan oleh Venafi, yang berspesialisasi dalam solusi keamanan informasi.


Venafi Cloud Place di CI / CD Conveyor

Venafi Cloud for DevOps adalah layanan cloud terintegrasi yang dengan mudah mengintegrasikan infrastruktur kunci kriptografi dan sertifikat digital ke dalam platform DevOps perusahaan yang populer. Perusahaan baru-baru ini mengumumkan integrasi Cloud Venafi dengan infrastruktur kunci publik GlobalSign PKI.

Venafi Cloud membantu mengelola sertifikat SSL / TLS. Anda dapat menguji platform sebagai bagian dari beta gratis .

Fitur utama:


  • Melacak semua sertifikat eksternal.
  • Pemantauan dan melihat terus menerus di mana setiap sertifikat internal dipasang (pemindai ringan digunakan).
  • Identifikasi kerentanan potensial.
  • Permintaan otomatis dan pembaruan sertifikat, integrasi dengan otoritas sertifikasi. Sertifikat dikirimkan dalam hitungan detik. Mengeluarkan sertifikat langsung ke jalur pipa CI / CD dan menerapkan kebijakan yang sesuai untuk setiap lingkungan.


  • Instalasi otomatis sertifikat melalui REST API, integrasi dengan alat DevOps dan server ACME (Lingkungan Manajemen Sertifikat Otomatis).
  • Pembuatan laporan.

Venafi Cloud awalnya menawarkan integrasi dengan alat-alat DevOps, termasuk Hashicorp Terraform, Hashicorp Vault, SaltStack, Ansible, Docker, dan Jetstack Cert-Manager. Venafi Cloud dan GlobalSign PKI DevOps menyediakan antarmuka standar yang terdokumentasi dengan baik, termasuk REST API, open source VCert SDK (tersedia dalam Go dan Python), dan ACME. Bisnis dari semua ukuran sekarang dapat memiliki satu layanan identifikasi alat berat dalam infrastruktur hybrid dan beberapa cloud, yang membantu meningkatkan kecepatan DevOps.



Fungsi utama Venafi Cloud tercantum dalam tabel.

FungsiDeskripsi
Kontainerisasi
  • Mengotomatiskan Manajemen Siklus Hidup Sertifikat dengan Kubernetes dan Jetstack Cert-Manager
  • Pembuatan kunci dan permintaan sertifikat dari Docker dan wadah Manajemen Kunci Venafi. Sertifikat diberikan secara aman ke wadah lain di host Docker yang sama dengan wadah Venafi.
Orkestrasi
  • Menggunakan Terraform dengan generasi kunci, yang dapat direferensikan dalam rencana untuk akuisisi dan penyebaran sertifikat tanpa cacat.
Manajemen konfigurasi
  • Menggunakan SaltStack untuk menyederhanakan proses memperoleh dan menggunakan sertifikat, menggunakan integrasi Venafi untuk mentransfer sertifikat melalui sistem pilar Salt.
Manajemen Rahasia
  • Menegakkan kebijakan dengan HashiCorp Vault untuk sertifikat yang dikeluarkan melalui HashiCorp Vault API.
Layanan Dukungan
  • REST API untuk meminta sertifikat, melihat kebijakan untuk menerbitkan sertifikat, melihat sertifikat yang diterbitkan, mentransfer sertifikat langsung ke aplikasi web Microsoft Azure, dll.
  • Pembuatan kunci untuk menyederhanakan mendapatkan sertifikat menggunakan VCert, tanpa harus menulis kode yang berinteraksi dengan Venafi REST API.
  • Pengembang aplikasi dapat mengintegrasikan pembuatan kunci dan tugas manajemen sertifikat ke dalam aplikasi khusus menggunakan VCert SDK, kit pengembangan perangkat lunak lintas-platform yang ditulis dalam Go.
  • Otomatisasi manajemen sertifikat untuk infrastruktur eksternal, seperti subsistem penyeimbangan beban, menggunakan server Venafi ACME dengan sertifikat GlobalSign .





Source: https://habr.com/ru/post/id455535/

More articles:


All Articles