Geekly articles weekly

Gerenciando certificados SSL / TLS nas nuvens e contêineres - não no trabalho humano


Da apresentação Venafi: Como a instalação manual de certificados impede a integração e implantação contínuas de aplicativos

Os serviços e contêineres em nuvem se tornaram o padrão de fato para a implantação de aplicativos da web. No entanto, a integração de certificados SSL / TLS no ambiente do DevOps permanece muito complicada e lenta. Muitas tarefas ainda são executadas manualmente, e essa é uma carga muito grande nos devops. Em um ambiente virtual com contêineres, o número de máquinas na rede aumenta dramaticamente, e a proteção das conexões máquina-máquina e as comunicações entre eles ainda são necessárias. Se nesse ambiente a emissão de certificados e práticas de gerenciamento estiver mal estabelecida, a falta de autenticação confiável de cada máquina aumentará a superfície de ataque.

Se tudo for feito manualmente, os desenvolvedores geralmente priorizam a velocidade e a simplicidade, em vez da segurança . Às vezes, por uma questão de velocidade, eles escolhem opções mais simples: criar sua própria autoridade de certificação (CA) com certificados autoassinados, algoritmos de criptografia fracos, importar certificados raiz não confiáveis, proteção inadequada de chaves secretas para CAs raiz e intermediárias. E, às vezes, os desenvolvedores não usam SSL / TLS para criptografar as comunicações entre máquinas e contêineres.

Para solucionar esse problema, surgiram no mercado vários novos serviços que se integram diretamente ao ciclo de integração / entrega contínuo (CI / CD) e automatizam o processo.

Esses serviços oferecem segurança aprimorada e maior produtividade no desenvolvimento, além de conformidade com os padrões regulatórios de segurança, como PCI-DSS, NIST e HIPAA. E o suporte requer apenas algumas linhas de código. Um desses serviços desde abril de 2017 é fornecido pela Venafi, especializada em soluções de segurança da informação.


Venafi Cloud Place no transportador de CI / CD

O Venafi Cloud for DevOps é um serviço de nuvem integrado que integra convenientemente a infraestrutura de chaves criptográficas e certificados digitais nas populares plataformas corporativas do DevOps. A empresa anunciou recentemente a integração do Venafi Cloud com a infraestrutura de chave pública GlobalSign PKI.

O Venafi Cloud ajuda a gerenciar certificados SSL / TLS. Você pode testar a plataforma como parte de uma versão beta gratuita .

Principais recursos:


  • Rastreando todos os certificados externos.
  • Monitoramento e visualização contínuos em que cada certificado interno está instalado (usando um scanner leve).
  • Identificação de possíveis vulnerabilidades.
  • Solicitação e renovação automáticas de certificados, integração com uma autoridade de certificação. Os certificados são entregues em segundos. Emissão de certificados diretamente para os pipelines de CI / CD e aplicação de políticas apropriadas para cada ambiente.


  • Instalação automática de certificados por meio da API REST, integração com as ferramentas do DevOps e o servidor ACME (ambiente de gerenciamento automatizado de certificados).
  • Geração de relatórios.

O Venafi Cloud oferece inicialmente integração com as ferramentas do DevOps, incluindo o Hashicorp Terraform, o Hashicorp Vault, o SaltStack, o Ansible, o Docker e o Jetstack Cert-Manager. O Venafi Cloud e o GlobalSign PKI DevOps fornecem interfaces padrão bem documentadas, incluindo a API REST, o VCert SDK de código aberto (disponível em Go e Python) e o ACME. Agora, empresas de todos os tamanhos podem ter um serviço de identificação de máquina em sua infraestrutura híbrida e várias nuvens, o que ajuda a aumentar a velocidade do DevOps.



As principais funções do Venafi Cloud estão listadas na tabela.

FunçãoDescrição do produto
Containerização
  • Automatize o gerenciamento do ciclo de vida do certificado com o Kubernetes e o Jetstack Cert-Manager
  • Solicitações de geração e certificado de chave do Docker e do contêiner do Venafi Key Management. Os certificados são fornecidos com segurança a outros contêineres no mesmo host Docker que os contêineres Venafi.
Orquestração
  • Utilizando o Terraform com geração de chaves, que pode ser referenciado em planos para a aquisição e implantação contínua de certificados.
Gerenciamento de configuração
  • Usando o SaltStack para simplificar o processo de obtenção e implantação de certificados, usando a integração do Venafi para transferir certificados pelo sistema de pilar do Salt.
Gestão de Segredos
  • Aplicação de políticas com o HashiCorp Vault para certificados emitidos por meio da API do HashiCorp Vault.
Serviços de Suporte
  • API REST para solicitação de certificados, exibição de políticas para emissão de certificados, exibição de certificados emitidos, transferência de certificados diretamente para aplicativos Web do Microsoft Azure, etc.
  • Geração de chave para simplificar a obtenção de certificados usando o VCert, sem precisar escrever código que interaja com a API Rena Venafi.
  • Os desenvolvedores de aplicativos podem integrar tarefas de geração de chaves e gerenciamento de certificados em aplicativos personalizados usando o VCert SDK, um kit de desenvolvimento de software multiplataforma escrito em Go.
  • Automatize o gerenciamento de certificados para infraestrutura externa, como subsistemas de balanceamento de carga, usando o servidor Venafi ACME com certificados GlobalSign .





Source: https://habr.com/ru/post/pt455535/

More articles:


All Articles