Los certificados digitales (por ejemplo, SSL/TLS, X.509) pueden emitirse y gestionarse a través de muchas herramientas diferentes en su cadena de herramientas DevOps. Sin embargo, cuantas más herramientas tengas para gestionar la emisión de estos certificados, más lagunas habrá en la gobernanza y la supervisión de la seguridad.
Vea a Anthony Ricci, Vicepresidente de Ingeniería de Keyfactor, mientras recorre un ejemplo de pila tecnológica y el papel que desempeñan los certificados en un ciclo de vida de desarrollo.
Transcripción completa a continuación.
Construir una pila tecnológica de muestra
¿Qué tal, amigos? Mi nombre es Anthony Ricci. Soy el vicepresidente de ingeniería en Keyfactor. Hoy vamos a hablar de los retos de los certificados digitales en un entorno DevOps.
A continuación se muestra un ejemplo de una pila de tecnología que vamos a ir a través y explicar tal vez posiblemente lo que su organización puede hacer para desarrollar, o para desplegar sus aplicaciones.
Una vez hecho esto, veremos cómo los secretos y la gestión de certificados desempeñan un papel en DevOps.
Infraestructura
Como empezamos desde abajo, aquí está tu infraestructura. Esencialmente podría ser metal desnudo. Podría ser un centro de datos, o múltiples centros de datos, para el caso. Tal vez un entorno basado en la nube. Podría ser AWS, Google Cloud, Azure, pero en realidad no importa. Aquí es donde comienza, y luego nos centraremos en el despliegue de sus máquinas virtuales dentro de esos entornos.
Una vez configurada la infraestructura, hablemos de los clústeres.
Clústeres y malla de servicios
Puedes tener múltiples clusters, así que en este ejemplo, tendremos dos clusters. Una vez configurado un clúster, necesitas un orquestador para gestionarlo. La mayoría de la gente está con el despliegue de Kubernetes, y posiblemente el uso de una malla de servicios como Istio.
El uso de una malla de servicios depende de la complejidad de su entorno o multientorno. La malla de servicios le ofrece la capacidad para el descubrimiento basado en servicios, DNS gestión de sus diferentes servicios y pods dentro de esos entornos. Esto permite que todo se comunique adecuadamente. También permite la gestión en un entorno efímero, en el que hay cosas girando hacia arriba y hacia abajo todo el tiempo.
Entrada lógica y aplicaciones
También puede tener una entrada lógica aquí. Así que esto será un borde, donde usted tiene algún tipo de servidor web que va a ser desplegado, tipo de servirnos. Ya sea una API, un sitio web o una aplicación que usan ciertas personas. Y, por supuesto, su aplicación, o el número de aplicaciones, que está desplegando. Este es un diagrama muy simple en el que comenzó desde abajo, desde la infraestructura hasta las aplicaciones.
Ahora empecemos a hablar de seguridad.
Incorporación de secretos y gestión de certificados
Kubernetes viene con SED integrado, donde puedes desplegar cosas como credenciales e información secreta que vas a utilizar. HashiCorp Vault es otro producto que tiene una interfaz muy buena y un montón de buenas características para gestionar los secretos de las aplicaciones a escala empresarial.
Lo siguiente son los certificados digitales. Mucha gente piensa que los certificados de SSL son los únicos certificados digitales que se utilizan. Sin embargo, hay muchos más.
Tenemos Client Auth en un entorno como este. El ingress soporta el uso de certificados SSL . Tus orquestadores o pods con servicios necesitarán desplegar certificados autenticados mutuamente (MTLs). Con todas estas herramientas y aplicaciones que necesitan certificados, ¿dónde vas a conseguirlos?
Es una gran pregunta.
CA internas (autoridades de certificación)
Kubernetes tiene lo que llamamos una CA integrada. Istio tiene una CA integrada. Y, lo has adivinado, Vault también tiene una CA integrada.
Desde la perspectiva de DevOps, percibes que tienes seguridad, que la tienes. Sin embargo, el problema es la gestión de esa seguridad. Lo que estamos tratando de hacer con estos entornos DevOps o el flujo de sus aplicaciones y despliegue, es minimizar el coste total de propiedad (TCO).
En este caso, en realidad estás aumentando tu TCO. Tienes cuatro implementaciones diferentes con distintas CA que estás desplegando en ese entorno. Los retos que surgen al implementar estas CA, la aplicación de políticas y la forma de gestionarlas, pueden ser significativamente diferentes de una tecnología a otra.
Este es un gran problema en el espacio digital. Siempre ha sido un gran problema, pero ¿y si tuviéramos una solución para poder resolverlo?
Automatización de certificados para DevOps
Pues sí, y se llama Keyfactor.
Tenemos una PKI as-a-Service, o infraestructura de clave pública, como servicio, que le permite aliviar la gestión de esos certificados digitales de su entorno. Y nos permite hacerlo en su nombre.
En este caso, lo que tratamos de hacer es eliminar la emisión de estas CA de estos onboard, o estas pilas de tecnología, y luego crear lo que yo llamo los puntos de integración de última milla en Key factor. Esto te da un enfoque unificado para la gestión de certificados dentro del entorno. Ahora tienes interoperabilidad entre las diferentes pilas de tecnología y las capacidades de Keyfactor para gestionar esas CA entre bastidores.
¿Qué le aporta eso realmente? Desde el punto de vista de DevOps, lo que le ofrece es control, visibilidad y autonomía entre todas sus diferentes CA. Proporcionamos a su grupo de seguridad de la información la capacidad de aplicar políticas, auditar esas CA y garantizar la coherencia y el cumplimiento dentro de su sector y su organización.
Y luego le permiten a usted, como experto en DevOps o desarrollador de aplicaciones, centrarse en las características y funciones de su aplicación, y asegurarse de su despliegue en la pila.