GlobalSign_admin 17 ноя 2019 в 17:25

Помощь девопсам по внедрению PKI

2 мин

8.6K

Блог компании GlobalSignDevOps*Информационная безопасность*Облачные сервисы*Серверное администрирование*

+12

Комментарии 6

Meklon 18 ноя 2019 в 19:30

Vault это и сам по себе отлично все умеет. В чем задача дополнительной прослойки?

AlexGluck 18 ноя 2019 в 21:43

Я бы ещё исходники глянул, но мне кажется прослойка служит для выжимания бабла из воздуха.

mr_tron 19 ноя 2019 в 00:46

Исходники закрытые. Продукт проприетарный.

AlexGluck 20 ноя 2019 в 12:25

Я догадался, это был сарказм) Vault пока выглядит прекрасным решением, а если нужно что-то нетривиальное, то ищем в сети или допиливаем сами. Но уже точно никаких связей с платными ЦА нельзя иметь.

mr_tron 19 ноя 2019 в 11:52

В аудите и в расширенных политиках. Вот например плагин для волта, который расширяет возможности встроенного pki. github.com/Venafi/vault-pki-monitor-venafi Это для приватных CA типа встроенного в волт.
А в публичный CA типа globalsign волт сам не умеет ходить подписывать сертификаты. А через плагин github.com/Venafi/vault-pki-backend-venafi может ходить в разные CA. Это позволяет например прозразно заменять самоподписные сертификаты из волта на публичные доверенные.

Я не говорю, что это нужно каждому, но позволяет сократить затраты на интеграцию если вы уже используете подобные продукты на большой инфраструктуре.

P.S. Да — я один из разработчиков всех этих интеграций, так что несколько предвзят.

Meklon 19 ноя 2019 в 13:02

Vault тоже не идеален, знаю) некоторых вещей ему иногда не хватает. Я не критикую, правда интересно.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий