Venafi introduceert TLS Protect for Kubernetes voor eenvoudiger beheren van cloud native machine-identiteiten

Venafi intro­du­ceert TLS Protect for Kuber­netes om secu­ri­ty­teams te helpen eenvoudig en veilig machine-iden­ti­teiten, zoals TLS, mTLS en SPIFFE, te beheren in Kuber­netes-infra­struc­turen. TLS Protect for Kuber­netes maakt onderdeel uit van het Venafi Control Plane en vergroot het inzicht, de controle en auto­ma­ti­se­ring voor onder andere TLS, mTLS en SPIFFE-iden­ti­teiten binnen multi-cloud en multi-cluster omge­vingen. Daarmee helpt deze nieuwe oplossing orga­ni­sa­ties om de betrouw­baar­heid van appli­ca­ties te verbe­teren en de kosten voor ontwik­ke­ling en beheer te verlagen.

Gebaseerd op cert-manager

TLS Protect for Kuber­netes is gebouwd met een volledig onder­steunde versie van het cert-manager open source-project. Dat is een cloud-native oplossing voor ontwik­ke­laars, ontworpen door Venafi-bedrijf Jetstack, om TLS- en mTLS-certi­fi­caat­uit­gifte en ‑vernieu­wing te auto­ma­ti­seren. TLS Protect for Kuber­netes maakt het gebruik van machine-iden­ti­teiten in clusters inzich­te­lijk om securityrisico’s die voort­komen uit slecht gecon­fi­gu­reerde certi­fi­caten te iden­ti­fi­ceren en op te lossen. Verder biedt het opties voor secu­ri­ty­con­troles op de uitgifte van certi­fi­caten om te voldoen aan de policies voor het waar­borgen van digitaal vertrouwen. Het bevat tevens een mana­ge­men­tin­ter­face die volledig inzicht biedt in vertrouwde certi­fi­caten voor inkomende TLS en private certi­fi­caten voor inter­ser­vice mTLS- toepas­singen zoals pod-to-pod en service meshes. TLS Protect for Kuber­netes bouwt een gede­tail­leerd inzicht op van de secu­ri­ty­status van een orga­ni­satie in meerdere clusters en cloud­plat­formen, inclusief certi­fi­caten die handmatig zijn gemaakt door ontwik­ke­laars. Tenslotte iden­ti­fi­ceert het proactief mogelijke opera­ti­o­nele problemen, die teams helpen de clus­ter­in­te­gri­teit te behouden en storingen te voorkomen.

Functionaliteit

TLS Protect for Kuber­netes bevat onder andere de volgende functionaliteit:

• Obser­veer­baar­heid: via een webge­ba­seerde mana­ge­men­tin­ter­face zijn eenvoudig machine- iden­ti­teiten te ontdekken die in alle clusters worden gebruikt, inclusief waar­schu­wingen over de status, compli­ance en confi­gu­ratie van de gehele infra­struc­tuur voor machine-iden­ti­teits­be­heer. Het biedt direct een visueel inzicht van alle worklo­ad­cer­ti­fi­caten, inclusief hun koppeling met Kuber­netes-resources en X.509-certificaatconfiguraties. Dit geldt trevens voor certi­fi­caten die handmatig zijn gemaakt door ontwik­ke­laars. De interface biedt een tool voor clus­ter­mo­ni­to­ring en voor machine-iden­ti­teits­be­heer, om poten­tiële kwets­baar­heden zoals niet-geau­to­ri­seerde workloads te iden­ti­fi­ceren en proactief oplos­singen voor confi­gu­ra­tie­fouten aan te bevelen.
• Consis­tentie: TLS Protect for Kuber­netes dwingt machine-iden­ti­teits­be­leid af voor TLS, mTLS en SPIFFE VID in alle clusters op basis van het eigen secu­ri­ty­be­leid en zorgt er tevens voor dat de juiste versie van cert-manager consis­tent wordt gebruikt en geconfigureerd.
• Betrouw­baar­heid: het nieuwe product inte­greert naadloos met Kuber­netes-omge­vingen om de pres­ta­ties en schaal­baar­heid te garan­deren, inclusief een commer­cieel onder­steunde en onder­te­kende versie van het open source cert-manager-project (FIPS 140–2‑compatibel), voor bedrijfs­breed machine-iden­ti­teits­be­heer in Kuber­netes-omge­vingen. Bij elk nieuw gemaakt cluster kan het secu­ri­ty­team de platformcollega’s versterken door TLS Protect voor Kuber­netes te gebruiken om auto­ma­tisch een volledig onder­steunde betrouw­bare versie van cert-manager op te starten. Dit levert een betere consis­tentie op voor het beheren van secu­ri­ty­tools binnen omge­vingen met meerdere clusters en vermin­dert het risico op kwets­baar­heden voor productieomgevingen.
• Keuze­vrij­heid: TLS Protect for Kuber­netes onder­steunt multi-clouds, cloud­pro­vi­ders en Kuber­netes-distri­bu­ties. Het is ook te inte­greren met populaire vaults en andere DevOps- en cloud-native oplossingen.

“Naarmate orga­ni­sa­ties verschuiven van tradi­ti­o­nele data­cen­ters naar moderne gedis­tri­bu­eerde cloud- native infra­struc­turen zoals Kuber­netes, explo­deert het aantal certi­fi­caten en machine-iden­ti­teiten”, zegt Shivajee Samdarshi, chief product officer bij Venafi. “Dit leidt tot grotere securityrisico’s en behoefte aan inzicht en controles. Via Venafi’s Control Plane moder­ni­seren wij het beheren van machine-iden­ti­teiten en maken we het managen daarvan in cloud-native omge­vingen eenvou­diger dan ooit. TLS Protect voor Kuber­netes geeft security- en plat­form­teams de benodigde obser­veer­baar­heid, consis­tentie en controle over machine-iden­ti­teiten om ervoor te zorgen dat er een geva­li­deerde en contro­leer­bare vertrou­wens­keten bestaat voor elke workload die wordt gebruikt in een Kuber­netes-cluster. Inclusief het  consis­tent toepassen van certi­fi­caat­con­fi­gu­ra­ties en securitypolicies.”

Meer infor­matie is te vinden op:  https://​venafi​.com/​t​l​s​-​p​r​o​t​e​c​t​-​f​o​r​-​k​u​b​e​r​n​e​tes/. Of neem deel aan het webinar ‘Using Venafi for policy and control of certi­fi­cate lifecycle mana­ge­ment in Kuber­netes’ op 23 februari om 17:00 (CET). Via deze link kunt u zich daarvoor registreren.