Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • PKI
  • Repensar PKI para Kubernetes: Seguridad escalable en KubeCon Salt Lake City

Repensar PKI para Kubernetes: Seguridad escalable en KubeCon Salt Lake City

PKI

PKI es más importante que nunca para Kubernetes.En el mundo actual impulsado por DevOps y nativo de la nube, la infraestructura de clave pública (PKI) y las soluciones de firma son fundamentales para crear cadenas de suministro seguras y fiables en software y establecer la confianza en Kubernetes .

La PKI se ha vuelto tan crítica como nuestro café matutino, para todo, desde reforzar la identidad hasta garantizar la integridad de software . Si no se tiene cuidado, un bajón de cafeína puede acarrear fuertes multas y una pérdida de reputación.

Sin embargo, la implantación de PKI a menudo conlleva complejidades ocultas. Los ingenieros de plataformas deben vadear un mar de opciones: enfoques integrados, configuraciones de PKI DIY, herramientas de open-source e incluso el enfoque "ya lo haré más tarde".

¿Cuáles son los costes ocultos de estas configuraciones? Lagunas de seguridad y conformidad, problemas de integración y un montón de problemas adicionales.

En Keyfactor, ofrecemos una combinación única de experiencia en PKI y Firma, junto con soluciones maduras, open-source, de nivel empresarial que le permiten comenzar de forma sencilla y escalar según sea necesario para el cumplimiento o la resiliencia avanzada. Llevamos más de 20 años haciendo esto.

Retos actuales de PKI a los que se enfrentan los usuarios de Kubernetes

Complejidad y fragmentación

Seamos realistas: muchos equipos abordan la PKI como si estuvieran eligiendo lo que tienen más a mano o lo que parece tener menos fricciones en ese momento. Este enfoque a menudo conduce a sistemas fragmentados, lo que resulta en silos de seguridad y una solución "lo suficientemente buena" que no logra escalar a medida que aumenta la complejidad.

Brechas de automatización y criptoagilidad

En los entornos Kubernetes, los certificados y las claves necesitan una emisión, gestión y renovación constantes. Sin una automatización robusta y agilidad criptográfica, los equipos de la plataforma se enfrentarán a la perspectiva de certificados caducados, criptografía obsoleta, interrupciones del servicio o, peor aún, procesos de renovación manuales.

Identidades de carga de trabajo en SPIFFE/SPIRE

La comunicación de servicio a servicio en Kubernetes es más segura con mTLS y las identidades de carga de trabajo mediante SPIFFE. Sin embargo, muchos equipos tienen dificultades para configurar y gestionar estas identidades. ¿Cuál es el resultado? Comunicación potencialmente insegura entre servicios, incumplimiento de las políticas de seguridad, pérdida de tiempo de los desarrolladores y equipos de seguridad que solucionan constantemente los problemas de identidad.

Software Seguridad de la cadena de suministro

Con las canalizaciones CI/CD, la firma de contenedores y la atestación de artefactos se están convirtiendo en elementos no negociables para la seguridad. La lucha por implantar soluciones de firma seguras es real. Lo ideal sería que cada artefacto llevara una prueba de origen, desde los registros de contenedores hasta los repositorios de código fuente. Sin herramientas sólidas y seguras para la cadena de suministro de software y una solución de firma, la seguridad de las canalizaciones puede parecer como equilibrar un castillo de naipes.

¿Y si PKI no fuera un mosaico de herramientas, sino una solución unificada y escalable? La respuesta: Integración de extremo a extremo.

Con Keyfactor, PKI para Kubernetes no es solo otra CA atornillada a su infraestructura. Nuestras soluciones son compatibles con la seguridad criptográfica de extremo a extremo, desde la CA raíz a las CA intermedias, pasando por la emisión y gestión de certificados. Esto significa que puede dejar de unir soluciones y, en su lugar, implantar una PKI madura y probada en la empresa que cumpla las normativas y sea fiable, sin más atajos ni arreglos improvisados.

¡Únase a nosotros en KubeCon SLC para una inmersión profunda y demostraciones!

En la KubeCon de este año en Salt Lake City, queremos invitarle a aprender más sobre:

Certificados mTLS en Service Mesh (Istio): Le guiaremos a través de la configuración de EJBCA y cert-manager como PKI escalable y de confianza para las mallas de servicios multiclúster de Istio. Nuestra guía práctica muestra cómo emitir, rotar y gestionar certificados de forma eficiente al tiempo que se satisfacen las necesidades de cumplimiento y seguridad.

Principales conclusiones:

  • Cómo implementar EJBCA con cert-manager para una PKI sólida y basada en políticas en Istio.
  • Pasos prácticos para crear identidades de carga de trabajo resistentes y garantizar una comunicación segura entre clústeres.
  • Métodos probados para evitar errores comunes de PKI y reforzar su postura de seguridad.

EJBCAcombinado con cert-manager, ofrece una solución para gestionar todos sus certificados de malla a escala, garantizando que su PKI de malla de servicios Istio sea segura y conforme.

Integración de SPIFFE/SPIRE con EJBCA para identidad de carga de trabajo de confianza: Discutiremos la configuración de SPIFFE/SPIRE para utilizar el plugin EJBCA UpstreamAuthority Plugin. Esta integración permite a SPIRE emitir certificados de identidad de la carga de trabajo como parte de una PKI empresarial de confianza gestionada por EJBCA.

Aprenderás a:

  • Aproveche la implementación SPIRE del marco SPIFFE para proporcionar identidades de carga de trabajo seguras para servicios dentro de Kubernetes.
  • Configure SPIRE para emitir certificados de identidad de carga de trabajo respaldados por EJBCA, garantizando que estas identidades se alinean con una PKI robusta.

Se trata de una visita obligada si desea reforzar la seguridad de la carga de trabajo y gestionar identidades a escala con EJBCA PKI.

Software Seguridad de la cadena de suministro (conductos CI/CD): En sus canalizaciones CI/CD, Keyfactor ofrece soluciones de firma para contenedores y otros artefactos, lo que simplifica la aplicación de políticas de firma segura de código y artefactos de principio a fin. Cuando se combina con soluciones como Chainloop que aprovechan las iniciativas estándar de open-source , como las atestaciones in-toto, SigStore y SLSA, la seguridad de las cadenas de suministro de software se vuelve más accesible. En KubeCon, demostraremos cómo nos integramos con Chainloop, y podrá empezar a explorar nuestra solución conjunta de inmediato. Además, aprenderá cómo SignServer y EJBCA pueden ayudar a conseguir PKI y firma de nivel empresarial.

Control de nivel empresarial con la flexibilidad de Open-Source : Lo entendemos: a veces desea el control y la flexibilidad de open-source, pero también necesita la resistencia, el cumplimiento y la escalabilidad de una solución empresarial. Keyfactor ofrece lo mejor de ambos mundos, ya que le permite aprovechar la flexibilidad de open-source con controles de nivel empresarial. Segmente PKI, integre módulos de seguridad hardware (HSM), proteja los registros de auditoría y armonice las políticas de PKI y firma en todos los entornos de implantación (en local, en contenedor, en la nube, SaaS). Con Keyfactor, está preparado para una PKI segura y escalable que funciona en cualquier lugar.

Conclusión: Creación de una PKI de Kubernetes más segura y manejable

La PKI para Kubernetes no tiene por qué ser compleja, fragmentada ni estar llena de compromisos. Con las herramientas integradas y maduras de Keyfactor, es más fácil implementar, escalar y proteger la PKI en toda la infraestructura de Kubernetes. Es hora de dejar atrás los enfoques en silos o las luchas de bricolaje y explorar las ofertas de Keyfactorpara hacer que la seguridad de Kubernetes sea escalable, resistente y preparada para el futuro.

Invitación para obtener más información en KubeCon SLC

¿Desea reunirse con el equipo de Keyfactor y obtener más información? Pase por el stand R40 la próxima semana en KubeCon + CloudNativeCon. Si desea concertar una cita con nosotros, envíenos un correo electrónico a [email protected] y díganos qué hora le viene mejor.

 

Keyfactor fotos de equipo

Conozca al equipo de Keyfactor en la KubeCon: Sven Rajala, Cristofer TenEyck, Joey Corpman, Kenyon Abbott, Robert Dean y Malin Ridelius.