Thales、Venafi和HashiCorp的集成DevOps解决方案

存在的问题

当今的大型企业跨多个领域运作，在多个城市和国家/地区充当虚拟组织。随着近来的健康问题不断扩大，对远程劳动力的需求使企业的外围范围变得越来越宽。通常将分散于各个领域的个人的努力结合在一起的一个部门是软件开发。 DevOps或使应用程序开发和操作组合在一起的过程会增加复杂性和安全性风险，而程序员在现场，防火墙后且只能访问开发环境时，这是以前程序员无法看到的。除了无法正确实施DevOps带来的敏捷性和规模之外，DevOps流程也会受到阻碍和黑客攻击，从而给最终产品增加了开发时间和安全风险。

有几种安全解决方案可用来维持对DevOps流程的信任，包括代码签名、秘密管理、TLS / SSL密钥和计算机身份管理。任何安全解决方案的根源都是位于PKI环境核心的私钥。如果代码签名私钥意外地或通过网络漏洞进入攻击者的手中，则可能对业务造成严重损害。信任的根源被破坏，使用这些密钥的数字签名值得怀疑，并且不能保证它们签名的代码的完整性。

将完全不同的安全产品组合到一个统一的解决方案中可能会很复杂，并且可能会让组织自行决定如何部署竞争解决方案。如果没有经过测试、优化和无缝协作的解决方案组件，DevOps团队的代码开发和部署速度就会受到负面影响。此外，解决方案中缺少一个关键要素可能会在最终产品中留下信任差距。

正确实施后，可以保护DevOps的所有方面：

• 秘密被安全地存储；

• 开发和部署过程与协议保持不变；

• 符合合规要求；

• 端到端的信任根得以维持；

• 并且组织的InfoSec政策得到维护。

该解决方案还必须对开发人员正在使用的过程和工具透明。

解决方案

无论是本地部署团队还是云分布式DevOps团队，要真正有效地部署到关键业务系统中，DevOps都需要在易用性，速度和安全性之间取得平衡。过去，在开发人员快速构建新的软件工作流时，获得开发人员所需的兼容证书的过程非常缓慢。 Venafi、HashiCorp和Thales组合解决方案为开发人员提供了速度和信任根源之间的平衡。通过将DevOps工具与证书颁发机构连接，此解决方案提供了一种自动有效的方式来提供企业信任的合规SSL证书，可从开发人员使用的工具中对其进行访问。这种紧密的集成使开发人员能够在不牺牲对安全策略的合规性的情况下保持敏捷开发过程的速度。

Venafi信任保护平台可以管理和自动化所有PKI证书，同时满足DevOps快速移动的需求。 Thales Luna HSM可以在本地使用，也可以使用Thales数据保护点播（DPoD）作为云HSM服务，提供重要的HSM密钥存储，以通过保护HashiCorp Vault和Venafi Trust Protection Platform主密钥来确保免受破坏。 并为公共CA提供更安全的DevOps信任根。 PKI基础结构一直是手动过程，生成私钥和CSR，提交给CA，然后等待验证和签名过程完成。 这种联合解决方案将PKI基础结构简化为单个命令，甚至是全自动过程。 Thales和Venafi还与DigiCert、Entrust Datacard、GlobalSign、PrimeKey和Sectigo等公共CA紧密合作，以确保客户拥有安全、高质量和合规的SSL证书，以满足其合规性和DevOps要求。

它是如何运作的？

1. Thales Luna HSM自动打开HashiCorp Vault的密封

2. DevOps团队向Vault请求新应用程序的计算机标识

3. Vault使用Luna HSM提供的高级熵来生成私钥对。

4. Vault创建证书签名请求（CSR）并将其发送到Venafi信任保护平台（TPP）

5. TPP将CSR发送到CA以完成并发送回TPP

1. Luna HSM为TPP数据库提供主密钥保护

2. Luna HSM为领先的CA提供信任保护的根源

6. 保险柜从TPP检索证书

7. 在CI / CD期间从Vault检索新的计算机标识

8. 构建过程并安装在应用程序上

方案的主要特点和优点

• 本地、混合和基于云的Thales HSM选项通过管理和存储在经过认证的信任HSM根中来确保您的关键加密密钥和数字身份始终安全

  
  

• Thales HSM可以轻松，经济高效地满足行业内大多数认证的合规性要求，包括FIPS 140-2、通用标准（CC）、eIDAS、GDPR、ITI、新加坡CC NITES等

  
  

• Venafi将证书颁发机构（CA）与开发人员当前使用的工具无缝连接，在提供安全且合规的证书的同时，自动执行密钥和证书的生命周期，并保持DevOps Agile开发过程的速度和效率。

  
  

• 使用本机保管库命令来请求证书，同时完全遵守公司安全和审核策略。

  
  

• HashiCorp Vault PKI简化了TLS证书的分发，允许用户使用单个命令或通过完全自动化的过程来创建PKI证书

综上所述

从Thales、Venafi和HashiCorp等三家行业领先的公司中选择完全集成并经过测试的DevOps解决方案，采用DevOps实践的组织可以利用企业级开发程序所需的安全性，报告和审计功能来实施控制和流程。 通过在符合FIPS 140-2 Level 3和CC EAL4+的Luna HSM中包括信任根保护，该应用程序可以满足全球法规要求，同时保持敏捷开发过程提供的工具、速度和灵活性。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 汽车领域的密钥管理

• SOC 2合规性：您需要了解的内容和需要做的事情

• Thales与LuxTrust：数据主权和合规性的合作伙伴关系

• 硬件安全模块供应商已做好应对量子安全需求激增的准备

• Thales Luna HSM荣获第一家FIPS140-3 Level 3验证的硬件安全模块