GlobalSign 博客

使用HashiCorp Vault-Atlas插件增强DevOps管道的安全性

在软件开发过程中融入DevOps文化的组织,鼓励开发团队打破组织隔阂,并在部署软件时采用自动化来最大化效率。

根据GitLab 2022全球DevSecOps调查,35%的开发人员发布代码的速度提高了一倍,15%的开发人员发布代码的速度提高了3到5倍。大约60%被认可的代码正在以更快的速度迁移到生产环境。 

随着越来越多的企业为云构建软件,基础设施已经成为短期的,并使自己面临更多的安全威胁。随着各种应用程序、系统和端点的安全,应用程序数据也必须免受恶意攻击,这推动了动态秘密管理的需求。

秘密管理可能是一项繁琐的工作,需要添加密钥滚动、安全存储和详细的审计日志,如果没有自定义解决方案,这几乎是不可能的。

什么是HashiCorp Vault? 

HashiCorp Vault是一个动态的基于身份的安全解决方案,利用可信的身份来源来保护机密和应用程序数据的安全。Vault提供了一个单一的用户界面来管理密钥,是云部署中最常用的工具。

Vault的好处是什么? 

  • 动态密钥管理—集中存储、访问和分发动态密钥,如令牌、密码、证书和加密密钥。这种集中管理有助于减少密钥的蔓延,并允许保险库用户请求密钥,例如X.509证书。

  • 安全的秘密存储——存储在仓库中的任何秘密都是加密的。Vault在将这些密钥写入持久存储之前会对它们进行加密,这意味着即使有人访问了原始存储,他们仍然无法访问您的密钥。

  • 数据加密——Vault通过集中的密钥管理和简单的数据加密api来保持应用程序数据的安全。

  • 租赁和更新-所有储存在仓库中的秘密都有一个“租赁”。租期结束时,金库会自动撤销该秘密。租约可以通过内置的renew API进行更新。

  • 秘密撤销——Vault对秘密撤销的嵌入式支持使用户可以撤销单个秘密以及一棵秘密树。

  • 安全的DevOps CI/CD管道——利用Atlas自动化功能和API, DevOps团队能够保护应用程序以及CI/CD管道的任何阶段。

Vault和Atlas有什么联系?

Atlas是一个高可用、高吞吐量的证书管理引擎,它可以自动化和简化组织如何使用数字证书。通过与Atlas的集成,我们已经与Vault建立了互操作性,允许用户请求、颁发和吊销证书。

 
使用GlobalSign的可信证书保护服务  

通过与Vault的集成,DevOps团队可以保护其服务器的安全,并部署来自公共证书颁发机构的可信数字证书。

  • 通过HashiCorp Vault和Ansible Playbook来保护你的Apache Web服务器。

开发人员可以使用Ansible playbook模板来保护域名。通过Hashicorp Vault - Atlas插件,开发人员可以通过编写` playbook `来保护他们的Apache web服务器,他们可以通过Hashicorp Vault从Atlas请求GlobalSign证书。

  • 通过哈希公司金库保护你的詹金斯管道。

通过与Vault的集成,Jenkins用户可以使用GlobalSign的证书来保护他们的CI/CD管道。  

  • 使用Ingress保护Kubernetes服务 

DevOps团队可以通过Kubernetes证书管理工具(cert-manager)保护环境。用户可以使用Hashicorp Vault - Cert-Manager插件从Atlas自动请求他们的GlobalSign证书。

  • 使用GlobalSign的Hashicorp Vault - Atlas插件保护容器。

通过使用Atlas签发的GlobalSign证书,应用程序和程序可以进行数字签名,以确保容器及其运行的代码的安全。

要了解更多关于HashiCorp Vault的Atlas证书提供商插件,以及它如何在不减慢DevOps进程的情况下保护您的DevOps进程,请单击此处。  

了解更多

近期博客