[Open source, DevOps, Kubernetes] Безопасность конфиденциальных данных с Traefik Enterprise и Vault (перевод)
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
У каждой компании есть свои секреты. Пожалуй, любое приложение и сервис владеет конфиденциальной информацией, такой как имена пользователей и пароли, лицензионные ключи, учетные данные для входа в базы данных и т.д. — которая должна быть скрыта от посторонних лиц.
Одной из самых важных категорий данных, которые хранятся современными приложениями, являются TLS сертификаты, позволяющие осуществлять зашифрованную передачу через HTTPS. Хорошей новостью для пользователей Traefik Enterprise является то, что теперь работать с конфиденциальными данными стало проще, чем когда-либо, благодаря поддержке Vault в Traefik Enterprise 2.3.
Vault — это инструмент с открытым исходным кодом, разработанный и поддерживаемый компанией HashiCorp, предлагающий безопасное и зашифрованное центральное хранилище данных для конфиденциальной информации. Vault в Traefik Enterprise 2.3 может использоваться для управления сертификатами двумя способами. Во-первых, Vault можно использовать в качестве хранилища ключей для сертификатов. Во-вторых, Vault может быть резолвером (resolver) сертификатов, что позволяет ему динамически генерировать сертификаты «на лету». Давайте рассмотрим оба варианта использования.
Использование Vault в качестве хранилища ключей для сертификатов
Traefik уже давно поддерживает работу с такими key-value хранилищами, как Consul, etcd, и ZooKeeper. Vault провайдер для Traefik Enterprise 2.3 и более поздних версий может подключаться к Vault аналогичным образом, используя его в качестве хранилища key-value данных для хранения и извлечения TLS-сертификатов.
Первым шагом является настройка механизма Vault secrets для использования с Traefik Enterprise. На данный момент Traefik Enterprise поддерживает движок KV Secrets Engine — Version 2, который в настоящее время является движком по умолчанию и легко включается из командной строки. Рекомендуется использовать отдельно KV хранилище для TLS сертификатов, и помните, что все сертификаты должны быть закодированы в base64 и храниться в корне KV secrets engine.
Далее, остается только включить Vault Provider в статическую конфигурацию Traefik Enterprise. На это потребуется всего несколько строк кода, и типичный пример (на языке YAML) может выглядеть именно так:
Этот фрагмент указывает на URL сервера Vault и устанавливает token, необходимый для аутентификации с ним. (В настоящее время провайдер Vault поддерживает только аутентификацию через токены.) Он также указывает, как часто провайдер будет извлекать данные из KV-хранилища Vault.
Вот и все! После настройки Traefik Enterprise распознает сертификаты в хранилище для их обработки. И, как обычно для Traefik Enterprise, конфигурация обновляется автоматически всякий раз, когда вы добавляете или удаляете сертификаты из хранилища Vault.
Если вы хотите узнать больше о том, как настроить Vault Provider для Traefik Enterprise, ознакомьтесь с документацией.
Использование Vault в качестве резолвера сертификатов для PKI
Опытные пользователи Traefik знают о поддержке автоматической генерации сертификатов с использованием ACME-протокола и совместимых сервисных провайдеров, таких как Let's Encrypt. В Traefik Enterprise 2.3 добавлены новые, дополнительные средства автоматизации процесса генерации сертификатов в виде поддержки инфраструктуры открытых ключей — Vault Public Key Infrastructure (PKI).
Механизм Vault PKI secrets включает в себя встроенные функции аутентификации и авторизации, которые позволяют генерировать сертификаты «на лету», не погружаясь в традиционный процесс генерации ключей вручную и их передаче в центр сертификации (Certificate Authority).
Такая автоматизация особенно ценна в динамических, основанных на микросервисах средах, где сервисы, как правило, недолговечны, а контейнеры быстро создаются и уничтожаются по запросу.
Настройка Vault в качестве резолвера сертификатов почти так же проста, как и настройка Vault Provider, который обсуждался ранее. После установки Vault с включенным движком PKI Secrets Engine настройка функции требует добавления всего нескольких строк в статическую конфигурацию Traefik Enterprise. Например:
После завершения настроек резолвера сертификатов и назначения его в Routes в Traefik Enterprise, Vault начнет генерацию сертификатов для запросов, которые соответствуют шаблонам. Чтобы узнать больше о том, как это работает, обратитесь к документации.
Существует также удобное руководство пользователя, которое описывает процесс развертывания простого TLS-совместимого сервиса с Vault на Kubernetes.
Обеспечьте безопасность данных с помощью Traefik Enterprise
Traefik Labs рада предложить поддержку Vault в Traefik Enterprise как еще одно доказательство нашего стремления предоставлять лучшие в своем классе функции, которые необходимы организациям, заботящимся о безопасности. Использование Vault для управления конфиденциальной информацией — это шаг вперед в обеспечении безопасности вашей сети; использование Vault с Traefik Enterprise делает этот шаг еще проще. Использование Vault для управления конфиденциальными данными — это шаг вперед в обеспечении безопасности вашей сети; использование Vault с Traefik Enterprise делает этот шаг еще более легким. Начните 30-дневную бесплатную пробную версию и узнайте, как Traefik Enterprise может помочь сделать вашу инфраструктуру более гибкой, надежной и безопасной.
===========
Источник:
habr.com
===========
===========
Автор оригинала: Neil McAllister
===========Похожие новости:
- [Open source, Сетевые технологии, Kubernetes] Решение проблем связанности микросервисов с помощью сетевых журналов (перевод)
- [Хостинг, Программирование, DevOps, Микросервисы] Технология Serverless: снова привет, 1970-е (перевод)
- [Open source, Алгоритмы, Lua, Параллельное программирование] Такие важные короткоживущие данные
- [Open source, Программирование, C++] Интерпретатор скрипта на С++
- [PostgreSQL, DevOps] Заряжай Patroni. Тестируем Patroni + Zookeeper кластер (Часть первая)
- [Java, Git, DevOps] Trunk Based Development и Spring Boot, или ветвись оно все по абстракции
- [Open source, Виртуализация, Kubernetes, Openshift] 7 вещей, которые нужно проработать, прежде чем запускать OpenShift в продакшн
- [Анализ и проектирование систем, IT-инфраструктура, DevOps] Как избежать гниения ПО (перевод)
- [Информационная безопасность, Open source, GitHub, Софт] Программу для взлома паролей 1Password удалили с Github, а её автор исчез
- [Информационная безопасность, Криптография, Open source, Лайфхаки для гиков] Как создать и у всех на виду хранить пароли, очень стойкие и очень длинные, не запоминая их
Теги для поиска: #_open_source, #_devops, #_kubernetes, #_traefik, #_vault, #_faktor_grup (фактор груп), #_secrets, #_containous, #_blog_kompanii_faktor_grup (
Блог компании Фактор груп
), #_open_source, #_devops, #_kubernetes
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 09:59
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
У каждой компании есть свои секреты. Пожалуй, любое приложение и сервис владеет конфиденциальной информацией, такой как имена пользователей и пароли, лицензионные ключи, учетные данные для входа в базы данных и т.д. — которая должна быть скрыта от посторонних лиц. Одной из самых важных категорий данных, которые хранятся современными приложениями, являются TLS сертификаты, позволяющие осуществлять зашифрованную передачу через HTTPS. Хорошей новостью для пользователей Traefik Enterprise является то, что теперь работать с конфиденциальными данными стало проще, чем когда-либо, благодаря поддержке Vault в Traefik Enterprise 2.3. Vault — это инструмент с открытым исходным кодом, разработанный и поддерживаемый компанией HashiCorp, предлагающий безопасное и зашифрованное центральное хранилище данных для конфиденциальной информации. Vault в Traefik Enterprise 2.3 может использоваться для управления сертификатами двумя способами. Во-первых, Vault можно использовать в качестве хранилища ключей для сертификатов. Во-вторых, Vault может быть резолвером (resolver) сертификатов, что позволяет ему динамически генерировать сертификаты «на лету». Давайте рассмотрим оба варианта использования. Использование Vault в качестве хранилища ключей для сертификатов Traefik уже давно поддерживает работу с такими key-value хранилищами, как Consul, etcd, и ZooKeeper. Vault провайдер для Traefik Enterprise 2.3 и более поздних версий может подключаться к Vault аналогичным образом, используя его в качестве хранилища key-value данных для хранения и извлечения TLS-сертификатов. Первым шагом является настройка механизма Vault secrets для использования с Traefik Enterprise. На данный момент Traefik Enterprise поддерживает движок KV Secrets Engine — Version 2, который в настоящее время является движком по умолчанию и легко включается из командной строки. Рекомендуется использовать отдельно KV хранилище для TLS сертификатов, и помните, что все сертификаты должны быть закодированы в base64 и храниться в корне KV secrets engine. Далее, остается только включить Vault Provider в статическую конфигурацию Traefik Enterprise. На это потребуется всего несколько строк кода, и типичный пример (на языке YAML) может выглядеть именно так: Этот фрагмент указывает на URL сервера Vault и устанавливает token, необходимый для аутентификации с ним. (В настоящее время провайдер Vault поддерживает только аутентификацию через токены.) Он также указывает, как часто провайдер будет извлекать данные из KV-хранилища Vault. Вот и все! После настройки Traefik Enterprise распознает сертификаты в хранилище для их обработки. И, как обычно для Traefik Enterprise, конфигурация обновляется автоматически всякий раз, когда вы добавляете или удаляете сертификаты из хранилища Vault. Если вы хотите узнать больше о том, как настроить Vault Provider для Traefik Enterprise, ознакомьтесь с документацией. Использование Vault в качестве резолвера сертификатов для PKI Опытные пользователи Traefik знают о поддержке автоматической генерации сертификатов с использованием ACME-протокола и совместимых сервисных провайдеров, таких как Let's Encrypt. В Traefik Enterprise 2.3 добавлены новые, дополнительные средства автоматизации процесса генерации сертификатов в виде поддержки инфраструктуры открытых ключей — Vault Public Key Infrastructure (PKI). Механизм Vault PKI secrets включает в себя встроенные функции аутентификации и авторизации, которые позволяют генерировать сертификаты «на лету», не погружаясь в традиционный процесс генерации ключей вручную и их передаче в центр сертификации (Certificate Authority). Такая автоматизация особенно ценна в динамических, основанных на микросервисах средах, где сервисы, как правило, недолговечны, а контейнеры быстро создаются и уничтожаются по запросу. Настройка Vault в качестве резолвера сертификатов почти так же проста, как и настройка Vault Provider, который обсуждался ранее. После установки Vault с включенным движком PKI Secrets Engine настройка функции требует добавления всего нескольких строк в статическую конфигурацию Traefik Enterprise. Например: После завершения настроек резолвера сертификатов и назначения его в Routes в Traefik Enterprise, Vault начнет генерацию сертификатов для запросов, которые соответствуют шаблонам. Чтобы узнать больше о том, как это работает, обратитесь к документации. Существует также удобное руководство пользователя, которое описывает процесс развертывания простого TLS-совместимого сервиса с Vault на Kubernetes. Обеспечьте безопасность данных с помощью Traefik Enterprise Traefik Labs рада предложить поддержку Vault в Traefik Enterprise как еще одно доказательство нашего стремления предоставлять лучшие в своем классе функции, которые необходимы организациям, заботящимся о безопасности. Использование Vault для управления конфиденциальной информацией — это шаг вперед в обеспечении безопасности вашей сети; использование Vault с Traefik Enterprise делает этот шаг еще проще. Использование Vault для управления конфиденциальными данными — это шаг вперед в обеспечении безопасности вашей сети; использование Vault с Traefik Enterprise делает этот шаг еще более легким. Начните 30-дневную бесплатную пробную версию и узнайте, как Traefik Enterprise может помочь сделать вашу инфраструктуру более гибкой, надежной и безопасной. =========== Источник: habr.com =========== =========== Автор оригинала: Neil McAllister ===========Похожие новости:
Блог компании Фактор груп ), #_open_source, #_devops, #_kubernetes |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 09:59
Часовой пояс: UTC + 5