Moderne DevOps-Teams verschieben die Grenzen der Softwareentwicklung immer weiter. Da neue Anwendungen in rasantem Tempo entstehen, stehen Ingenieure und Entwickler vor der zusätzlichen Herausforderung, jede Entwicklungsphase abzusichern – von Containern und Microservices bis hin zu Verwaltungstools.
Der Schlüssel zu dieser Absicherung ist ein SSL/TLS-Zertifikat. Da jedoch zahlreiche Dienste gesichert und verwaltet werden müssen, können die Techniker nicht manuell überprüfen, welche Zertifikate erneuert werden müssen oder bald ablaufen, oder jeweils die InfoSec-Teams damit beauftragen, sich um die Zertifikatsverwaltung kümmern.
Wie können DevOps-Teams sich also das Leben leichter zu machen? Mit einem Wort: ACME (was eigentlich für vier Wörter steht).
Was ist ACME?
ACME steht für Automatic Certificate Management Environment und ist ein Standardprotokoll für die Automatisierung von Verfahren zur Ausstellung von Zertifikaten und Validierung von Domänen. ACME ist eine weit verbreitete Lösung für die Zertifikatsautomatisierung, die es Benutzern ermöglicht, Zertifikatsverwaltungsaktionen mit Hilfe einer Reihe von JavaScript Object Notation (JSON)-Nachrichten über HTTPS anzufordern. Es bietet Unternehmen einen Rahmen für die Kommunikation mit einer Zertifizierungsstelle, um die Anforderung, Ausstellung und den Widerruf von SSL/TLS-Zertifikaten zu automatisieren.
Sicherung Ihrer CI/CD-Pipeline mit Hilfe der ACME-Integration von GlobalSign
Unternehmen können das ACME-Protokoll nutzen, um eine Reihe von DevOps-Bereitstellungs- und Verwaltungstools mit Hilfe von GlobalSign SSL/TLS-Zertifikaten zu sichern. Hier sind ein paar Anwendungsfälle:
Kubernetes
Entwickler können GlobalSigns Service „Atlas ACME“ nutzen, um Kubernetes Ingress über Jetstacks Cert-Manager mit GlobalSign SSL/TLS-Zertifikaten zu sichern. Der Cert-Manager von Jetstack ist ein nativer Controller für die Kubernetes-Zertifikatsverwaltung. Er baut auf Kubernetes auf, um Entwicklern, die mit Kubernetes arbeiten, innerhalb der Kubernetes Cluster „Zertifikate als Service“ bieten zu können. Dazu werden Zertifizierungsstellen und Zertifikate als Ressourcentypen erster Klasse in die Kubernetes-API eingeführt, wodurch sich die Verwaltung, Ausstellung und Erneuerung von Zertifikaten sowie die Sicherung des Anwendungsdatenverkehrs vereinfacht. Entwickler können ACME außerdem nutzen, um mit Hilfe von GlobalSigns nativem Cert-Manager „Atlas Plugin“ alle Dienste innerhalb des Kubernetes-Clusters zu sichern.
Docker-Container
Mit dem ACME-Protokoll können Docker-Benutzer die Erstellung und Erneuerung von Zertifikaten automatisieren, um Docker-Container zu sichern. Die Benutzer können dann GlobalSigns private SSL/TLS-Zertifikate von einem ACME-Server anfordern, um die Kommunikation zwischen Docker-Containern und Hosts zu sichern. Und die Benutzer können ein Docker-Compose-Setup erstellen, bei dem Nginx in einem Container und ein Dienst zum Abrufen und Erneuern von HTTPS-Zertifikaten in einem anderen Container ausgeführt wird. Dann lässt sich ihr Zertifikat über External Account Binding (EAB) von dem ACME-Server abrufen.
Die Entwickler können auch GlobalSigns Docker Image aus dem Docker Hub Repository ziehen, um SSL/TLS-Zertifikate zu erhalten, mit denen sie ihre Docker-Container sichern.
Ansible
Ansible-Benutzer können GlobalSign als Zertifizierungsstelle für die Ausstellung von Zertifikaten konfigurieren, indem sie API-Schlüssel und Geheimnisse sowie mTLS-Zertifikate bereitstellen. Entwickler können Ansible Playbooks nutzen, um ihre internen Server wie Apache- und Nginx-Webserver zu sichern. Durch Ansible Playbook 'Tasks' können sie GlobalSign-Zertifikate über ihr ACME-Protokoll anfordern, anzeigen oder widerrufen. Darüber hinaus können sie die Validierung von Domänenansprüchen mit Hilfe von http/dns/email-Methoden durchführen.
Service Mesh
Für Unternehmen ist die Absicherung der Kommunikation zwischen Pods wie Istio und Linkerd mit Hilfe von mTLS-Zertifikaten möglich, die über ACME und Cert-Manager angefordert werden.
Chef
Ähnlich wie Benutzer ein Ansible Playbook erstellen, um Apache- und Nginx-Webserver zu sichern, können Entwickler ein ACME Cookbook erstellen, um GlobalSign-Zertifikatsanforderungen zur Sicherung ihrer Server zu erstellen.
Code Signing
Entwickler können Code schnell signieren, indem sie ein ACME Jenkins-Plugin installieren. Dann lassen sich Builds mit Hilfe von GlobalSigns Code Signing SSL/TLS-Zertifikaten signieren, die über ACME angefordert werden.
Warum sollten Sie für die Sicherung Ihrer DevOps-Dienste die ACME-Integration von GlobalSign verwenden?
Also warum ist die Atlas ACME-Integration von GlobalSign eine der besten Lösungen für die Automatisierung Ihrer DevOps-Sicherheitsanforderungen?
-
Geschwindigkeit
Damit DevOps-Umgebungen reibungslos funktionieren, ist Schnelligkeit unabdingbar. ACME automatisiert die GlobalSign-Zertifikatsanforderungen, so dass Ihr DevOps-Server innerhalb von Sekunden gesichert werden kann.
-
Weite Verbreitung
Es handelt sich um ein weit verbreitetes und vereinfachtes Protokoll, das Entwicklern hilft, ihre Umgebung in Sekundenschnelle zu sichern, damit sie sich auf ihre eigentliche Aufgabe der Anwendungsentwicklung konzentrieren können.
-
Sicherung der CI/CD-Pipeline
GlobalSigns ACME-Integration ist in viele DevOps-Tools integrierbar, um Zertifikate zu verwalten. Das reicht von der Sicherung der Pod-zu-Pod-Kommunikation mit Kubernetes-Clustern bis hin zur Verwendung von SSL/TLS zur Sicherung von Ingress-Ressourcen.
-
Aktualität
Durch die Verwendung des ACME-Protokolls zur Automatisierung der Zertifikatsverwaltung können Unternehmen sicherstellen, dass ihre Server und Umgebungen sicher, auf dem neuesten Stand und vorschriftenkonform sind.
-
Ihre Geheimnisse und Schlüssel bleiben bei Ihnen
ACME ermöglicht es Unternehmen, ihre Geheimnisse und privaten Schlüssel selbst zu verwalten, anstatt diese Verantwortung an Dritte abzugeben. Für manche bedeutet das zusätzliche Sicherheit.
Erfahren Sie mehr über die Sicherung Ihrer DevOps-Umgebung mit ACME