Si vous êtes ingénieur réseau, les temps d'arrêt sont l'ennemi numéro un. Suivre les demandes de changement, résoudre les problèmes et mettre en œuvre le nouveau site hardware est un travail difficile, mais tout cela déraille lorsqu'une interruption de service survient.
Les pannes de réseau et d'application peuvent être dues à de nombreux facteurs, mais l'un des plus pénibles (et évitables) est l'expiration ou la mauvaise configuration des certificats TLS utilisés par vos serveurs web et vos répartiteurs de charge, tels qu'Avi Vantage.
Lors d'un récent webinaire, nous avons expliqué comment Keyfactor s'intègre à Avi Vantage (désormais VMware NSX ALB) pour éviter les pannes et simplifier les opérations quotidiennes des ingénieurs réseau. Nous discuterons ici des points forts du webinaire et des raisons pour lesquelles cette intégration est importante pour nos clients.
Mais avant de nous plonger dans l'intégration, il est important de comprendre les problèmes que rencontrent les équipes chargées des réseaux et des applications lorsqu'il s'agit de certificats SSL/TLS dans leur déploiement Avi, et comment elles peuvent bénéficier de l'intégration avec Keyfactor.
Le goulot d'étranglement : l'approvisionnement manuel
Si vous avez déployé des contrôleurs Avi ou tout autre périphérique réseau, vous savez qu'il est important d'appliquer le cryptage HTTPS pour sécuriser les applications et les connexions backend. Il va sans dire que la disponibilité et la sécurité sont des priorités absolues pour la fourniture d'applications. Cependant, les processus manuels et sujets aux erreurs des certificats SSL/TLS peuvent rapidement ralentir les équipes et introduire plusieurs risques.
Bien qu'Avi Vantage offre un certain niveau de visibilité sur les certificats, le processus d'installation, de configuration et de renouvellement est encore très manuel et souvent mal compris. En réalité, de nombreuses équipes chargées des applications et des opérations sont encore confrontées à la question suivante : "Où puis-je obtenir un certificat ?". Sans parler de la manière de les déployer correctement et de les renouveler avant qu'ils n'expirent.
Si l'on considère tout le temps qu'il faut pour soumettre une CSR, attendre l'approbation, récupérer le certificat, puis 10 à 15 minutes supplémentaires pour installer et configurer chaque certificat sur les contrôleurs Avi, l'addition est vite faite. Les équipes peuvent passer des heures à faire quelque chose qui ne devrait prendre que quelques minutes.
Que se passe-t-il alors ? Ils appuient sur le bouton facile...
Le bouton facile : les certificats auto-signés
Traditionnellement, les organisations utilisent des certificats signés par une autorité de certification (AC) publique ou privée interne. D'autre part, les certificats auto-signés ne conviennent pas à tous les cas d'utilisation, mais ils sont trivialement faciles à générer, ce qui en fait un favori pour les équipes chargées des réseaux et des applications. Cependant, ils présentent également plusieurs risques et défis.
Par rapport aux certificats signés par des autorités de certification, la chaîne de confiance d'un certificat auto-signé commence et se termine avec l'utilisateur qui l'a généré. Il n'est que trop facile pour les utilisateurs de générer une paire de clés de certificat avec une faible entropie, de ne pas protéger la clé privée de manière appropriée ou d'émettre des certificats dont la durée de vie dépasse largement les périodes de validité acceptables (nous avons vu des certificats d'une durée allant de 10 à 99 ans).
Le plus gros problème est que le suivi des certificats auto-signés devient un véritable casse-tête pour l'équipe PKI ou l'équipe de sécurité. Lorsque des dizaines d'utilisateurs génèrent leurs propres certificats à l'aide de différents serveurs et périphériques réseau (y compris les contrôleurs Avi), chacun avec une interface différente, il devient beaucoup plus difficile de maintenir la visibilité et la gouvernance.
Autre raccourci : les certificats génériques
Un autre raccourci que les utilisateurs prennent souvent pour éviter plus de travail manuel consiste à utiliser des certificats génériques. Ils évitent ainsi de devoir gérer plusieurs certificats sur plusieurs serveurs dans leur environnement en utilisant un seul certificat générique pour plusieurs sous-domaines. Facile, n'est-ce pas ?
Sans une bonne visibilité de tous les emplacements où le certificat est installé, et sans une protection stricte de la clé privée associée, les certificats Wildcard créent un point de défaillance unique qui peut être extrêmement difficile à résoudre en cas de problème.
Par exemple, Epic Games a récemment connu une panne généralisée due à un certificat wildcard expiré qui a pris plus de cinq heures pour y remédier. Dans une analyse rétrospective de l'incident, l'entreprise a déclaré que "le certificat wildcard de service à service était installé sur des centaines de services de production différents et que, de ce fait, l'impact était très large".
Conclusion : l'utilisation de certificats auto-signés et de certificats génériques doit être limitée. Dans la plupart des cas, il s'agit d'un raccourci et non d'une solution au problème. Quelle est donc la solution ? En un mot : l'automatisation.
Automatisation sécurisée avec Keyfactor + Avi Vantage
L'automatisation de l'approvisionnement et du renouvellement des certificats dans votre réseau est nécessaire pour empêcher les propriétaires d'applications d'appuyer sur le bouton "facile", pour atténuer le risque d'erreur ou de mauvaise configuration, et pour réduire le temps consacré à des tâches redondantes.
Les ingénieurs réseau peuvent ainsi échanger des raccourcis contre des flux de travail automatisés qui leur permettent d'obtenir et de déployer facilement des certificats de confiance, plutôt que d'opter pour des solutions risquées.
Keyfactor Command permet la découverte et l'automatisation des certificats sur vos contrôleurs Avi, ainsi que sur les serveurs web et les périphériques réseau tels que F5, NGINX, IIS, Tomcat, etc. La plateforme agit comme un proxy de confiance entre votre réseau et votre infrastructure cloud et vos autorités de certification (CA) publiques et privées pour fournir :
- Visibilité des certificats : Maintenir un inventaire centralisé et en temps réel de tous les certificats d'application et de contrôleur. Identifier et remédier aux certificats faibles, erronés ou proches de l'expiration.
- Libre-service : Permet aux propriétaires d'applications de demander facilement des certificats à n'importe quelle autorité de certification publique ou privée connectée via une simple interface en libre-service ou des API REST.
- Automatisation : En plus de fournir des alertes en cas d'expiration, la solution permet de renouveler, de pousser et d'installer automatiquement les certificats sur les contrôleurs Avi.
- Évolutivité : Faites évoluer l'utilisation de HTTPS dans vos contrôleurs Avi et autres infrastructures de réseau et de serveur sans augmenter la charge de travail de vos équipes.
- Crypto-Agilité : Prise en charge de la réémission transparente de certificats par une nouvelle autorité de certification, de la migration vers des certificats à durée de vie plus courte ou de la migration d'un fournisseur d'ADC à un autre.
Comment cela fonctionne-t-il ?
Voyons comment fonctionne cette solution commune. Dans cet extrait de démonstration rapide, nous montrerons à quel point il est facile de générer des certificats auto-signés problématiques dans Avi, et comment le site Keyfactor offre une alternative beaucoup plus sûre et plus simple (faites défiler vers le bas pour trouver la démo complète).
Voir la démo complète
Vous voulez en savoir plus sur cette intégration ? Regardez la présentation complète de 30 minutes et la démonstration en direct ici. Vous pouvez également consulter d'autres intégrations populaires telles que F5, IIS, HashiCorp Vault, et d'autres dans le hub d'intégrationKeyfactor .