Los equipos DevOps siguen ampliando los límites del desarrollo de software. Con nuevas aplicaciones que se desarrollan a la velocidad del rayo, los ingenieros y desarrolladores tienen el reto añadido de asegurar cada etapa del ciclo de desarrollo, desde los contenedores y microservicios, hasta las herramientas de gestión.
La clave de la seguridad es un certificado SSL/TLS. Pero con múltiples servicios que proteger y gestionar, los ingenieros no tienen la capacidad de comprobar manualmente qué certificados necesitan renovarse, cuáles están a punto de caducar, o realizar múltiples peticiones a los equipos de InfoSec para que actúen en las solicitudes de gestión de certificados.
Entonces, ¿qué pueden hacer los equipos de DevOps para facilitarles la vida? Una palabra: ACME (bueno, técnicamente cuatro palabras).
¿Qué es ACME?
ACME (Automatic Certificate Management Environment) es un protocolo estándar para automatizar los procedimientos de emisión de certificados y validación de dominios. ACME es una solución de automatización de certificados ampliamente adoptada que permite a los usuarios solicitar acciones de gestión de certificados mediante un conjunto de mensajes de JavaScript Object Notation (JSON) transmitidos a través de HTTPS. Proporciona un marco para que las empresas se comuniquen con una autoridad certificadora para automatizar la solicitud, emisión y revocación de certificados SSL/TLS.
Cómo proteger la canalización CI/CD mediante la integración ACME de GlobalSign
Las empresas pueden utilizar el protocolo ACME para proteger una serie de herramientas de implementacion y gestión de DevOps con certificados SSL/TLS de GlobalSign. He aquí algunos casos de uso:
Kubernetes
Los desarrolladores pueden utilizar el servicio Atlas ACME de GlobalSign para proteger Kubernetes Ingress con certificados SSL/TLS de GlobalSign a través de Cert-manager de Jetstack. Cert-manager de Jetstack es un controlador de gestión de certificados nativo de Kubernetes. Se basa en Kubernetes para proporcionar "certificados como servicio" a los desarrolladores que trabajan en clústeres Kubernetes. Introduce autoridades certificadoras y certificados como tipos de recursos de primera clase en la API de Kubernetes, simplificando así la gestión, emisión y renovación de certificados y protegiendo el tráfico de aplicaciones. Los desarrolladores también pueden aprovechar ACME para utilizar el Cert-Manager nativo de GlobalSign - Atlas Plugin para proteger todos los servicios dentro del clúster Kubernetes.
Contenedores Docker
El protocolo ACME permite a los usuarios de Docker automatizar la creación y renovación de certificados para proteger los contenedores Docker. Los usuarios pueden solicitar certificados SSL/TLS privados de GlobalSign a un servidor ACME para proteger la comunicación entre los contenedores Docker y los hosts. Los usuarios pueden crear una configuración Docker-compose que ejecute Nginx en un contenedor y un servicio para obtener y renovar certificados HTTPS en otro. A continuación, pueden recuperar su certificado del servidor ACME mediante la vinculación de cuenta externa (EAB).
Los desarrolladores también pueden extraer la imagen Docker de GlobalSign del repositorio Docker Hub para obtener certificados SSL/TLS para proteger sus contenedores Docker.
Ansible
Los usuarios de Ansible pueden configurar GlobalSign como autoridad certificadora para emitir certificados proporcionando claves y secretos de API y certificados mTLS. Los desarrolladores pueden utilizar Ansible Playbooks para proteger sus servidores internos, como los servidores web Apache y Nginx. Mediante las "tareas" de Ansible Playbook, pueden solicitar, ver o revocar certificados GlobalSign a través de su protocolo ACME. Además, pueden realizar la validación de reivindicaciones de dominio mediante métodos http/dns/email.
Malla de servicios (Service Mash)
Las empresas pueden asegurar la comunicación entre pods como Istio y Linkerd con la ayuda de certificados mTLS solicitados a través de ACME y cert-manager.
Chef
Al igual que los usuarios crean un Ansible Playbook para proteger los servidores web Apache y Nginx, los desarrolladores pueden crear un ACME Cookbook para crear solicitudes de certificados GlobalSign para proteger sus servidores.
Firma de código
Los desarrolladores pueden firmar código rápidamente instalando un complemento ACME Jenkins para firmar compilaciones con la ayuda de los certificados SSL/TLS de firma de código de GlobalSign, solicitados a través de ACME.
¿Por qué utilizar la integración ACME de GlobalSign para proteger los servicios DevOps?
Entonces, ¿por qué la integración Atlas ACME de GlobalSign es una de las mejores soluciones para automatizar las necesidades de seguridad DevOps?
- Velocidad
La necesidad de velocidad es imperativa para que los entornos DevOps funcionen meticulosamente. ACME automatiza las solicitudes de certificados GlobalSign para que el servidor DevOps esté protegido en cuestión de segundos.
- Ampliamente utilizado
Es un protocolo ampliamente utilizado y simplificado que ayuda a los desarrolladores a asegurar su entorno en cuestión de segundos para que puedan dedicarse a sus verdaderas tareas de desarrollo de aplicaciones.
- Protege la canalización CI/CD
La integración ACME de GlobalSign puede integrarse con muchas herramientas DevOps para gestionar certificados. Cualquier cosa, desde asegurar las comunicaciones pod-to-pod utilizando clústeres Kubernetes, hasta utilizar SSL/TLS para asegurar el recurso Ingress.
- Mantente al día
El uso del protocolo ACME para automatizar la gestión de certificados permite a las empresas garantizar que los servidores y entornos son seguros, están actualizados y cumplen la normativa.
- Conserve el secreto y las claves
ACME permite a las empresas conservar sus secretos y claves privadas en lugar de delegar esta responsabilidad en terceros. Para algunos, esto supone una garantía añadida
Más información sobre cómo proteger el entorno DevOps con ACME