Как стать автором
Обновить
143.36

Управление SSL/TLS сертификатами в облаках и контейнерах — не человеческая работа

Время на прочтение 3 мин
Количество просмотров 4.8K

Из презентации Venafi: как установка сертификатов вручную тормозит процесс непрерывной интеграции и развёртывания приложений

Облачные сервисы и контейнеры стали стандартом де-факто для развёртывания веб-приложений. Однако интеграция сертификатов SSL/TLS в окружение DevOps остаётся слишком сложной и медленной. Многие задачи до сих пор выполняются вручную, а это очень большая нагрузка на девопсов. В виртуальной среде с контейнерами резко увеличивается количество машин в сети, а защита соединений «машина-машина» и коммуникаций между ними по-прежнему необходима. Если в такой среде плохо налажена выдача сертификатов и практики управления, то отсутствие надёжной аутентификации каждой машины увеличивает поверхность атаки.

Если всё делается вручную, то разработчики часто отдают приоритет скорости и простоте, а не безопасности. Иногда ради скорости выбирают варианты попроще: создание собственного центра сертификации (ЦС) с самоподписанными сертификатами, слабые алгоритмы шифрования, импорт ненадёжных корневых сертификатов, неадекватная защита секретных ключей для корневых и промежуточных ЦС. А иногда девопсы и вовсе не используют SSL/TLS для шифрования коммуникаций между машинами и контейнерами.

Чтобы решить эту проблему, на рынке появились несколько новых сервисов, которые интегрируются прямо в цикл непрерывной интеграции/поставки (CI/CD) и автоматизируют процесс.

Эти сервисы предлагают улучшить безопасность и повысить продуктивность разработки, а также обеспечить соответствие нормам регуляторов по безопасности, таким как PCI-DSS, NIST и HIPAA. И для поддержки требуется добавить всего несколько строчек кода. Один из таких сервисов с апреля 2017 года предоставляет компания Venafi, которая специализируется на решениях для информационной безопасности.


Место Venafi Cloud в конвейере CI/CD

Сервис Venafi Cloud for DevOps — интегрированный облачный сервис, который удобно внедряет инфраструктуру криптографических ключей и цифровых сертификатов в популярные корпоративные платформы DevOps. Недавно компания объявила об интеграции Venafi Cloud с инфраструктурой открытых ключей GlobalSign PKI.

Venafi Cloud помогает управлять сертификатами SSL/TLS. Можно испытать платформу в рамках бесплатного бета-тестирования.

Ключевые функции:


  • Отслеживание всех внешних сертификатов.
  • Непрерывный мониторинг и просмотр, где установлен каждый внутренний сертификат (используется легковесный сканер).
  • Выявление потенциальных уязвимостей.
  • Автоматический запрос и продление сертификатов, интеграция с центром сертификации. Сертификаты доставляются в течение нескольких секунд. Выдача сертификатов непосредственно в конвейеры CI/CD и применение соответствующих политик для каждой среды.


  • Автоматическая установка сертификатов через REST API, интеграция с инструментами DevOps и сервер ACME (Automated Certificate Management Environment).
  • Генерация отчётов.

Venafi Cloud изначально предлагает интеграцию с инструментами DevOps, включая Hashicorp Terraform, Hashicorp Vault, SaltStack, Ansible, Docker и Jetstack Cert-Manager. Решение Venafi Cloud и GlobalSign PKI для DevOps предоставляет хорошо документированные стандартные интерфейсы, включая REST API, пакет SDK с открытым исходным кодом VCert (доступный в Go и Python) и ACME. Предприятия всех размеров теперь могут иметь одну службу для идентификации машин в своей гибридной инфраструктуре и нескольких облаках, что помогает увеличить скорость DevOps.



Основные функции Venafi Cloud перечислены в таблице.

Функция Описание
Контейнеризация
  • Автоматизация управления жизненными циклами сертификатов с помощью Kubernetes и Jetstack Cert-Manager
  • Генерация ключей и запросы сертификатов из Docker и контейнера Venafi Key Management. Сертификаты безопасно предоставляются другим контейнерам на том же хосте Docker как контейнеры Venafi.
Оркестрация
  • Использование Terraform с генерацией ключей, на которые можно ссылаться в планах бесшовного приобретения и развёртывания сертификатов.
Управление конфигурацией
  • Применение SaltStack для упрощения процесса получения и развёртывания сертификатов, используя интеграцию Venafi для передачи сертификатов через pillar-систему Salt.
Управление секретами
  • Применение политики с HashiCorp Vault для сертификатов, выданных через HashiCorp Vault API.
Вспомогательные сервисы
  • REST API для запроса сертификатов, просмотра политик их выдачи, просмотра выданных сертификатов, передачи сертификатов напрямую в веб-приложения Microsoft Azure и др.
  • Генерация ключей для упрощения получения сертификатов с использованием VCert, без необходимости писать код, который взаимодействует с Venafi REST API.
  • Разработчики приложений могут интегрировать задачи генерации ключей и управления сертификатами в пользовательские приложения с помощью VCert SDK, кроссплатформенного набора для разработки программного обеспечения, написанного на Go.
  • Автоматизация управления сертификатами для внешней инфраструктуры, такой как подсистемы балансировки нагрузки, с помощью сервера Venafi ACME с сертификатами GlobalSign.






Теги:
Хабы:
+7
Комментарии 4
Комментарии Комментарии 4

Публикации

Информация

Сайт
www.globalsign.com
Дата регистрации
Дата основания
1996
Численность
501–1 000 человек
Местоположение
Япония