Les plateformes d’orchestration conteneurisées comme Kubernetes et OpenShift restent menacées. En assurant la fiabilité des communications, en vérifiant les identités des composants et en chiffrant les données en transit, les infrastructures à clés publiques (PKI) jouent un rôle essentiel dans la protection des charges de travail Kubernetes.
Qu’est-ce que Kubernetes et cert-manager ?
Kubernetes est le plus grand outil d’orchestration de conteneurs. Il automatise les tâches opérationnelles pour la gestion des conteneurs, tout en gérant le développement d’applications logicielles et la montée en charge. Initialement créé par Google, Kubernetes – surnommé K8s – est maintenu par la Cloud Native Computing Foundation (CNCF).
cert-manager est un outil de gestion de certificats X.509 natif pour le cloud, spécialement conçu pour sécuriser les charges de travail Kubernetes et OpenShift. Avec plus de 5 millions de téléchargements chaque jour et plus de 8 000 membres sur Slack, cert-manager est un outil puissant reconnu. Il facilite la récupération de certificats de confiance publique et privée qui sont délivrés par plusieurs émetteurs différents afin de sécuriser les applications fonctionnant dans un cluster Kubernetes.
Pourquoi y a-t-il besoin de sécuriser Kubernetes ?
Un cluster Kubernetes abrite de nombreux services qu’il faut protéger à l’aide de certificats SSL/TLS pour que les communications, le chiffrement et l’authentification soient protégés. Cela concerne notamment les communications entre pods, l’authentification Kubelet, la sécurité Ingress, les nœuds et les API Kube, ou le maillage de services au sein d’un cluster tel qu’Istio.
Les certificats SSL/TLS de confiance publique sont essentiels au maintien de la confidentialité des données et de l’intégrité du processus de développement d’applications. Ils créent en effet un environnement de communication fiable, tant au sein d’un cluster que pour la collaboration avec des entités externes. Le cluster peut ainsi être intégré en toute sécurité dans les environnements de production.
Le déploiement de certificats X.509 offre plusieurs avantages :
- Renforcer la sécurité des échanges grâce au chiffrement, et instaurer la confiance entre différents services.
- Empêcher les tentatives d’accès non autorisés ou les attaques par interception de type « man-in-the-middle » dans les environnements de production.
- Favoriser les communications de confiance au sein d’une infrastructure Kubernetes.
- Chiffrer les communications entre les nœuds, les pods et les services.
- Sécuriser les clients et les serveurs web internes.
L’émetteur de GlobalSign vous permet de gérer la sécurité dans vos environnements Kubernetes
L’émetteur de certificats de GlobalSign permet aux développeurs d’obtenir des certificats SSL/TLS de confiance GlobalSign pour sécuriser un cluster Kubernetes. Intégré à Atlas, la plateforme d’identité numérique de GlobalSign, cet émetteur est utilisé pour émettre des certificats SSL/TLS de confiance pour les clusters Kubernetes, comme demandé. Il peut être utilisé dans plusieurs cas d’utilisation Kubernetes :
- Sécuriser les contrôleurs Ingress avec des certificats SSL / TLS
- Sécuriser les communications entre Kubelet et le serveur API Kube à l’aide de certificats de serveur
- Authentifier Kubelet sur le serveur API à l’aide de certificats clients
- Sécuriser la communication entre pods
- Sécuriser des serveurs web et clients internes
Vos 5 étapes vers la sécurité
Sécuriser vos charges de travail Kubernetes à l’aide d’Atlas, l’émetteur de GlobalSign pour cert-manager, se fait en 5 étapes :
1. Téléchargez et installez Atlas, l’émetteur de GlobalSign pour cert-manager, depuis le dépôt Github.
2. Récupérez les identifiants de l’API sur le portail Atlas de GlobalSign.
3. Créez une ressource d’émetteur à l’aide de vos identifiants API délivrés par GlobalSign.
4. Une fois la ressource de l’émetteur configurée, créez une demande de signature de certificat (CSR) pour votre ressource Kubernetes.
5. Une fois la demande acceptée, le certificat est délivré par Atlas
Intégrez la sécurité dans vos charges de travail Kubernetes
Atlas, notre émetteur pour cert-manager, permet aux développeurs d’utiliser des certificats SSL/TLS fiables pour renforcer la sécurité dans plusieurs scénarios afin de se concentrer sur le développement d’applications. Notre émetteur peut être téléchargé et installé depuis notre dépôt GitHub ICI.
Pour en savoir plus :
Télécharger la fiche technique