Ключевые интеграции Venafi
У девопсов и так много работы, а от них ещё требуют экспертных знаний по криптографии и инфраструктуре открытых ключей (PKI). Это неправильно.
Действительно, у каждой машины должен быть валидный TLS-сертификат. Они нужны для серверов, контейнеров, виртуальных машин, в сетках service mesh. Но количество ключей и сертификатов растёт как снежный ком, а управление быстро становится хаотичным, дорогостоящим и рискованным, если всё делать самостоятельно. При отсутствии надлежащей практики применения политик и мониторинга бизнес может пострадать из-за слабых сертификатов или неожиданного истечения срока действия.
GlobalSign и Venafi организовали два вебкаста в помощь девопсам. Первый — вводный, а второй — с более конкретными техническими советами по подключению системы PKI от GlobalSign через облако Venafi с помощью опенсорсных инструментов через HashiCorp Vault из конвейера Jenkins CI/CD.
Основные проблемы существующих процессов по управлению сертификатами вызваны большим количеством процедур:
- Генерация самоподписанных сертификатов в OpenSSL.
- Работа с множеством инстансов HashiCorp Vault для управления частным центром сертификации или самоподписанными сертификатами.
- Оформление заявок на доверенные сертификаты.
- Использование сертификатов от публичных облачных провайдеров.
- Автоматизация обновления сертификатов Let's Encrypt
- Написание собственных скриптов
- Самостоятельная настройка инструментов для DevOps вроде Red Hat Ansible, Kubernetes, Pivotal Cloud Foundry
Все процедуры повышают риск ошибки и отнимают много времени. Venafi пытается решить эти проблемы и упростить жизнь девопсам.
Демо GlobalSign и Venafi состоит из двух разделов. Во-первых, как настроить Venafi Cloud и GlobalSign PKI. Затем, как его использовать для запроса сертификатов согласно установленным политикам, с помощью знакомых инструментов.
Ключевые темы:
- Автоматизация выдачи сертификатов в рамках существующих методик DevOps CI/CD (например, Jenkins).
- Мгновенный доступ к PKI и службам сертификации по всему стеку приложений (выдача сертификатов в течение двух секунд)
- Стандартизация инфраструктуры открытых ключей с готовые решения по интеграции с платформами оркестровки контейнеров, управления секретами и автоматизации (например, Kubernetes, OpenShift, Terraform, HashiCorp Vault, Ansible, SaltStack и другие). Общая схема выдачи сертификатов показана на иллюстрации ниже.
Схема выдачи сертификатов через HashiCorp Vault, Venafi Cloud и GlobalSign. На схеме CSR означает «запрос на подпись сертификата» (Certificate Signing Request) - Высокая пропускная способность и надёжная инфраструктура PKI для динамических, сильно масштабируемых сред
- Использование групп безопасности через политики и видимость выданных сертификатов
Подобный подход позволяет организовать надёжную систему, не будучи экспертом в криптографии и PKI.
Автор: GlobalSign_admin
![Angular 6+ полное руководство по внедрению зависимостей. providedIn vs providers:[]](https://www.pvsm.ru/wp-content/plugins/contextual-related-posts/timthumb/timthumb.php?src=http%3A%2F%2Fwww.pvsm.ru%2Fimages%2F2018%2F12%2F03%2FAngular-6-polnoe-rukovodstvo-po-vnedreniyu-zavisimostei-%E2%80%8AprovidedIn-vs-providers.jpg&w=100&h=100&zc=1&q=75 "Angular 6+ полное руководство по внедрению зависимостей. providedIn vs providers:[]")
