Ключевые интеграции Venafi
У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI). Это неправильно.
Действительно, у каждой машины должен быть валидный TLS-сертификат. Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия.
GlobalSign и Venafi организовали два вебкаста в помощь девопсам. Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.
Основные проблемы существующих процессов по управлению сертификатами вызваны большим количеством процедур:
- Генерация самоподписанных сертификатов в OpenSSL.
- Работа с множеством инстансов HashiCorp Vault для управления частным центром сертификации или самоподписанными сертификатами.
- Оформление заявок на доверенные сертификаты.
- Использование сертификатов от публичных облачных провайдеров.
- Автоматизация обновления сертификатов Let's Encrypt
- Написание собственных скриптов
- Самостоятельная настройка инструментов для DevOps вроде Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Все процедуры повышают риск ошибки и отнимают много времени. Venafi пытается решить эти проблемы и упростить жизнь девопсам.
Демо GlobalSign и Venafi состоит из двух разделов. Во-первых, как настроить Venafi Cloud и GlobalSign PKI. Затем, как его использовать для запроса сертификатов согласно установленным политикам, с помощью знакомых инструментов.
Ключевые темы:
- Автоматизация выдачи сертификатов в рамках существующих методик DevOps CI/CD (например, Jenkins).
- Мгновенный доступ к PKI и службам сертификации по всему стеку приложений (выдача сертификатов в течение двух секунд)
- Стандартизация инфраструктуры открытых ключей с готовые решения по интеграции с платформами оркестровки контейнеров, управления секретами и автоматизации (например, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack и другие). Общая схема выдачи сертификатов показана на иллюстрации ниже.
Схема выдачи сертификатов через HashiCorp Vault, Venafi Cloud и GlobalSign. На схеме CSR означает «запрос на подпись сертификата» (Certificate Signing Request)
- Высокая пропускная способность и надёжная инфраструктура PKI для динамических, сильно масштабируемых сред
- Использование групп безопасности через политики и видимость выданных сертификатов
Подобный подход позволяет организовать надёжную систему, не будучи экспертом в криптографии и PKI.
Venafi Secrets Engine
Venafi даже уверяет, что в конечном итоге это более экономичное решение, поскольку не требует привлечения высокооплачиваемых специалистов по PKI и расходов на поддержку.
Решение полностью интегрируется в существующий конвейер CI/CD и покрывает все потребности компании в сертификатах. Таким образом, разработчики и девопсы могут работать быстрее и не разбираться с трудными криптографическими вопросами.
