Le rythme rapide de DevOps a largement contribué à la croissance de l'adoption et des déploiements dans le nuage. Par conséquent, le rôle de l'infrastructure à clé publique (PKI) s'est également étendu à un écosystème croissant d'outils et d'applications qui émettent des certificats numériques ou les consomment, comme Hashicorp Vault.
L'adoption rapide de ces outils a conduit les équipes de sécurité informatique à modifier leur façon de concevoir PKI et la gestion des clés et des certificats. Elles se posent désormais des questions telles que :
- Comment puis-je savoir combien de clés et de certificats j'ai en stock ?
- Comment suivre et gérer efficacement ces clés et certificats ?
- Comment puis-je m'assurer que chaque certificat est émis par une autorité de certification fiable et autorisée ?
- Comment gérer le back-end PKI dans cet environnement multicloud ?
Avant de répondre à ces questions, voyons comment HashiCorp Vault s'inscrit dans ce contexte et quels sont les défis liés à l'utilisation de PKI dans un environnement DevOps.
La valeur de Vault pour les développeurs
HashiCorp Vault est devenu un élément central de l'infrastructure DevOps des entreprises. Il permet aux développeurs de stocker de manière centralisée et de contrôler étroitement l'accès aux secrets, et fournit un accès via une API commune.
Vault peut également faire office d'autorité de certification en utilisant son moteur PKI Secrets Engine embarqué pour émettre des certificats TLS de courte durée. Ceux-ci sont utilisés par les développeurs et les équipes d'exploitation pour sécuriser les communications de machine à machine entre les serveurs, les conteneurs, les réseaux de services, etc.
Les équipes DevOps apprécient Vault, car il leur permet d'accéder rapidement et facilement aux certificats sans passer par les processus manuels habituels pour obtenir un certificat approuvé par l'équipe PKI ou InfoSec. La flexibilité de Vault lui permet également de générer des certificats auto-signés ou d'être configuré pour émettre des certificats à partir d'une autorité de certification subordonnée, comme Microsoft CA.
Mais comme tout outil dans un environnement DevOps, Vault doit être mis en œuvre et manipulé de manière à respecter les exigences de sécurité de l'entreprise.
Une vue d'ensemble : DevOps vs InfoSec
Si l'on prend un peu de recul, on constate que l'utilisation des clés et des certificats s'est rapidement développée dans la plupart des organisations. Cela a rendu beaucoup plus complexe la façon dont nous envisageons PKI.
C'est une histoire que vous avez déjà entendue : DevOps veut aller vite, mais InfoSec doit appliquer des contrôles de sécurité. Lorsqu'il s'agit de PKI, cette histoire n'est pas différente.
Les équipes chargées des applications et des opérations ne se soucient guère de savoir d'où provient un certificat ou à quelles politiques il est conforme. Leur travail consiste à créer, emballer, tester et fournir des applications de manière efficace, et non à gérer des certificats. Cela signifie souvent qu'il faut trouver des moyens d'éviter les processus PKI qui prennent beaucoup de temps et d'utiliser des solutions de contournement sans plainte.
Avec la quantité de certificats auto-signés émis, et l'abondance d'outils qui ont leurs propres AC intégrées, (par exemple Ansible, Kubernetes, AWS, Azure), la plupart des équipes de sécurité perdent de vue le nombre de clés et de certificats qu'elles ont réellement. La connaissance de l'emplacement de ces clés et certificats, de leur date d'expiration ou des politiques auxquelles ils sont conformes est difficile à obtenir avec un ensemble aussi distribué d'outils et d'applications. Ces inconnues entraînent de graves risques de sécurité et des pannes liées aux certificats.
Lorsque quelque chose ne va pas - par exemple, si un certificat expire ou si une autorité de certification est compromise - cela peut prendre des heures pour trouver le problème et y remédier, ce qui entraîne des temps d'arrêt et une perte de productivité. Sans responsabilité directe, cela devient vraiment un jeu du chat et de la souris entre les équipes DevOps et InfoSec.
À moins qu'il n'existe une solution capable de fournir la visibilité et le contrôle dont l'InfoSec a besoin, sans compromettre l'automatisation et la facilité d'accès requises par DevOps.
Keyfactor Intégration de la chambre forte
En utilisant le moteur Keyfactor Secrets Engine avec HashiCorp Vault, les organisations peuvent déployer et utiliser Vault d'une manière qui satisfait à la fois les équipes InfoSec et DevOps.
L'intégration commence par l'obtention d'une visibilité sur les certificats de toutes vos instances Vault et leur regroupement dans un inventaire d'entreprise unique. Vous pouvez ainsi appliquer le même ensemble cohérent de règles, de conformité et d'audit tout en vous assurant que tous les certificats sont également émis par une autorité de certification publique ou privée autorisée et de confiance, ou par la plateforme PKI hébergée dans le nuage de Keyfactor.
La lutte entre les équipes DevOps et InfoSec est réelle, mais il existe un moyen d'atteindre des niveaux de sécurité appropriés sans perturbation. En utilisant le moteur Keyfactor Secrets Engine, l'équipe InfoSec dispose d'un moyen normalisé d'intégration avec Vault. Quant aux équipes DevOps, elles pourront émettre des certificats avec le même ensemble d'API et de commandes natives de Vault auxquelles elles sont habituées, et accéder aux certificats de confiance publics utilisés en production.
Découvrez comment Keyfactor s'intègre à Hashicorp Vault dans notre webinaire à la demande :