Für einen Netzwerktechniker sind Ausfallzeiten der Feind Nummer eins. Änderungsanfragen zu bearbeiten, Probleme zu beheben und neue hardware zu implementieren, ist harte Arbeit, aber all das wird durch einen Ausfall des Dienstes zunichte gemacht.
Es gibt viele mögliche Ursachen für Netzwerk- und Anwendungsausfälle, aber eine der schmerzhaftesten (und vermeidbarsten) sind abgelaufene oder falsch konfigurierte TLS Zertifikate, die auf Ihren Webservern und Load Balancern, wie Avi Vantage, verwendet werden.
In einem kürzlich durchgeführten Webinar haben wir uns mit der Integration von Keyfactor in Avi Vantage (jetzt VMware NSX ALB) befasst, um Ausfälle zu vermeiden und den täglichen Betrieb für Netzwerktechniker zu vereinfachen. Hier besprechen wir die Highlights aus dem Webinar und warum diese Integration für unsere Kunden wichtig ist.
Bevor wir uns jedoch mit der Integration befassen, ist es wichtig, zunächst die Probleme zu verstehen, mit denen Netzwerk- und Anwendungsteams konfrontiert sind, wenn es um SSL/TLS Zertifikate in ihrem Avi-Einsatz geht, und wie sie von der Integration mit Keyfactor profitieren können.
Der Engpass: manuelle Bereitstellung
Wenn Sie Avi Controller oder ein anderes Netzwerkgerät eingesetzt haben, wissen Sie, wie wichtig die HTTPS-Verschlüsselung ist, um Anwendungen und Backend-Verbindungen zu sichern. Es versteht sich von selbst, dass Verfügbarkeit und Sicherheit bei der Anwendungsbereitstellung oberste Priorität haben. Manuelle und fehleranfällige SSL/TLS Zertifikatsprozesse können Teams jedoch schnell ausbremsen und verschiedene Risiken mit sich bringen.
Avi Vantage bietet zwar ein gewisses Maß an Transparenz in Bezug auf Zertifikate, aber der Prozess der Installation, Konfiguration und Erneuerung von Zertifikaten ist immer noch sehr manuell und wird oft missverstanden. Die Realität ist, dass viele Anwendungs- und Betriebsteams immer noch mit der Frage kämpfen: "Woher bekomme ich überhaupt ein Zertifikat?" Ganz zu schweigen davon, wie man sie richtig einsetzt und erneuert, bevor sie ablaufen.
Wenn man bedenkt, wie lange es dauert, eine CSR einzureichen, auf die Genehmigung zu warten, das Zertifikat abzurufen und dann weitere 10 bis 15 Minuten für die Installation und Konfiguration jedes Zertifikats auf Avi Controllern zu benötigen, summiert sich das schnell. Teams können Stunden mit etwas verbringen, das eigentlich nur ein paar Minuten in Anspruch nehmen sollte.
Und was passiert? Sie drücken den einfachen Knopf...
Die einfache Taste: selbstsignierte Zertifikate
Traditionell verwenden Unternehmen Zertifikate, die entweder von einer öffentlich vertrauenswürdigen oder einer internen privaten Zertifizierungsstelle (CA) unterzeichnet wurden. Andererseits eignen sich selbst signierte Zertifikate nicht für jeden Anwendungsfall, aber sie sind trivialerweise einfach zu erstellen, was sie zu einem beliebten Mittel für Netzwerk- und Anwendungsteams macht. Allerdings bringen sie auch einige Risiken und Herausforderungen mit sich.
Im Vergleich zu von Zertifizierungsstellen signierten Zertifikaten beginnt und endet die Vertrauenskette für ein selbstsigniertes Zertifikat mit dem Benutzer, der es erstellt hat. Es ist allzu leicht für Benutzer, ein Schlüsselpaar mit geringer Entropie zu erzeugen, den privaten Schlüssel nicht angemessen zu schützen oder Zertifikate mit einer Lebensdauer auszustellen, die weit über akzeptable Gültigkeitszeiträume hinausgeht (wir haben schon Zertifikate mit einer Laufzeit von 10 bis 99 Jahren gesehen).
Das größte Problem besteht darin, dass die Nachverfolgung selbstsignierter Zertifikate für das PKI- oder Sicherheitsteam zu einem echten Problem wird. Wenn Sie Dutzende von Benutzern haben, die ihre eigenen Zertifikate mit verschiedenen Servern und Netzwerkgeräten (einschließlich Avi Controllern) generieren, von denen jeder eine andere Schnittstelle hat, wird es viel schwieriger, Transparenz und Governance aufrechtzuerhalten.
Eine weitere Abkürzung: Wildcard-Zertifikate
Eine weitere Abkürzung, die Benutzer oft wählen, um mehr manuelle Arbeit zu vermeiden, ist die Verwendung von Wildcard-Zertifikaten. Sie vermeiden die mühsame Verwaltung mehrerer Zertifikate auf mehreren Servern in ihrer Umgebung, indem sie nur ein einziges Wildcard-Zertifikat für mehrere Subdomänen verwenden. Einfach, nicht wahr?
Ohne einen angemessenen Einblick in alle Speicherorte, an denen das Zertifikat installiert ist, und ohne einen strengen Schutz des zugehörigen privaten Schlüssels bilden Wildcard-Zertifikate einen Single Point of Failure, der im Falle eines Fehlers extrem schwer zu beheben ist.
Epic Games erlebte beispielsweise kürzlich einen weitreichenden Ausfall aufgrund eines abgelaufenen Wildcard-Zertifikats, dessen Behebung mehr als fünf Stunden in Anspruch nahm. In einem Post-Mortem-Bericht über den Vorfall hieß es, dass "das Service-to-Service-Wildcard-Zertifikat über Hunderte von verschiedenen Produktionsdiensten hinweg installiert war und die Auswirkungen daher sehr weitreichend waren".
Fazit: Die Verwendung von selbstsignierten Zertifikaten und Wildcard-Zertifikaten sollte eingeschränkt werden. In den meisten Fällen sind sie eine Abkürzung und nicht die Lösung des Problems. Was ist also die Lösung? Ein Wort: Automatisierung.
Sichere Automatisierung mit Keyfactor + Avi Vantage
Die Automatisierung der Bereitstellung und Erneuerung von Zertifikaten im gesamten Netzwerk ist erforderlich, um zu verhindern, dass die Eigentümer von Anwendungen die Taste "Einfach" drücken, um das Risiko von Fehlern oder Fehlkonfigurationen zu verringern und um den Zeitaufwand für redundante Aufgaben zu reduzieren.
So können Netzwerktechniker Abkürzungen gegen automatisierte Arbeitsabläufe eintauschen, mit denen sie auf einfache Weise vertrauenswürdige Zertifikate erhalten und einsetzen können, anstatt sich für riskante Alternativen zu entscheiden.
Keyfactor Command ermöglicht die Erkennung und Automatisierung von Zertifikaten auf Ihren Avi Controllern sowie auf Webservern und Netzwerkgeräten wie F5, NGINX, IIS, Tomcat und so weiter. Die Plattform fungiert als vertrauenswürdiger Proxy zwischen Ihrem Netzwerk und Ihrer Cloud-Infrastruktur und Ihren öffentlichen und privaten Zertifizierungsstellen (CAs), um diese bereitzustellen:
- Sichtbarkeit von Zertifikaten: Führen Sie ein zentrales Echtzeit-Inventar aller Anwendungs- und Controller-Zertifikate. Identifizieren und beheben Sie schwache, fehlerhafte oder fast abgelaufene Zertifikate.
- Selbstbedienung: Ermöglichen Sie es den Eigentümern von Anwendungen, über eine einfache Selbstbedienungsschnittstelle oder REST-APIs problemlos Zertifikate von jeder angeschlossenen öffentlichen oder privaten CA anzufordern.
- Automatisierung: Die Lösung bietet nicht nur Warnmeldungen bei Ablauf der Gültigkeit, sondern auch die Möglichkeit, Zertifikate automatisch zu erneuern, zu übertragen und auf Avi Controllern zu installieren.
- Skalierbarkeit: Skalieren Sie die Verwendung von HTTPS auf Ihren Avi Controllern und anderen Netzwerk- und Serverinfrastrukturen, ohne die Arbeitsbelastung Ihrer Teams zu erhöhen.
- Krypto-Agilität: Unterstützung der nahtlosen Neuausstellung von Zertifikaten von einer neuen CA, Migration zu Zertifikaten mit kürzerer Lebensdauer oder Migration von einem ADC-Anbieter zu einem anderen.
Wie es funktioniert
Schauen wir uns an, wie die gemeinsame Lösung funktioniert. In diesem kurzen Demo-Schnipsel zeigen wir, wie einfach es ist, problematische selbstsignierte Zertifikate in Avi zu erstellen, und wie Keyfactor eine viel sicherere und einfachere Alternative bietet (scrollen Sie nach unten, um die vollständige Demo zu sehen).
Die vollständige Demo ansehen
Möchten Sie mehr über diese Integration erfahren? Sehen Sie sich hier den vollständigen 30-minütigen Überblick und die Live-Demo an. Sie können sich auch andere beliebte Integrationen wie F5, IIS, HashiCorp Vault und andere im Keyfactor integration hub ansehen.