Las plataformas de orquestación en contenedores como Kubernetes y OpenShift siguen estando expuestas a amenazas hostiles. La infraestructura de clave pública (PKI) desempeña un papel fundamental en la seguridad de las cargas de trabajo de Kubernetes para mantener una comunicación fiable, verificar las identidades de los componentes y cifrar los datos en tránsito.
¿Qué es Kubernetes y cert-manager?
Kubernetes es la mayor herramienta de orquestación de contenedores que automatiza las tareas operativas para la gestión de contenedores, al tiempo que gestiona y escala el desarrollo de aplicaciones de software. Creado originalmente por Google, Kubernetes, también conocido como K8s, es mantenido por la Cloud Native Computing Foundation (CNCF).
cert-manager es una herramienta de gestión de certificados X.509 nativa de la nube diseñada específicamente para proteger las cargas de trabajo de Kubernetes y OpenShift. Con más de 5 millones de descargas diarias y más de 8000 miembros en Slack, cert-manager es una potente herramienta que facilita la recuperación de certificados de confianza públicos y privados de diferentes emisores para asegurar las aplicaciones que trabajan dentro de un clúster Kubernetes.
¿Por qué es necesario proteger Kubernetes?
Hay muchos servicios dentro de un clúster Kubernetes que necesitan ser asegurados con certificados SSL/TLS para asegurar las comunicaciones, el cifrado y la autenticación. Estos incluyen la comunicación entre pods, autenticación Kubelet, seguridad Ingress, Nodos y APIs Kube, o malla de servicios dentro de un cluster como Istio.
SSL/TLS de confianza pública son fundamentales para mantener la confidencialidad de los datos y la integridad del desarrollo de aplicaciones, ya que establecen un entorno de comunicación de confianza tanto dentro de un clúster como cuando se trabaja con entidades externas. Esto permite integrar el clúster de forma segura en entornos de producción.
El despliegue de certificados X.509 permite lo siguiente:
- La comunicación segura y el cifrado para establecer la confianza entre varios servicios.
- Evitar accesos no autorizados o ataques man-in-the-middle en entornos de producción
- Permitir la comunicación de confianza dentro de una infraestructura Kubernetes
- Cifrar la comunicación entre nodos, pods y servicios
- Proteger clientes y servidores web internos
Emisor de GlobalSign para gestionar la seguridad en sus entornos Kubernetes
El emisor de GlobalSign para cert-manager permite a los desarrolladores obtener certificados SSL/TLS de confianza de GlobalSign para proteger un clúster Kubernetes. Este emisor es una integración de la plataforma de identidad digital de GlobalSign, Atlas, que se utiliza para emitir certificados SSL/TLS de confianza para clústeres Kubernetes según se solicite. Se puede utilizar para asegurar una variedad de casos de uso de Kubernetes:
- Protección de la entrada con certificados SSL/TLS
- Asegurar las comunicaciones entre Kubelet y el servidor API de Kube utilizando certificados de servidor
- Autenticación de Kubelet al servidor API utilizando certificados de cliente
- Protección de la comunicación entre pods
- Protección de los servidores web y cliente internos
5 pasos para la seguridad
Se necesitan cinco sencillos pasos para proteger las cargas de trabajo de Kubernetes utilizando Atlas Issuer de GlobalSign para cert-manager:
- Descarga e instala el emisor de Atlas de GlobalSign para cert-manager desde el repositorio de Github.
- Obtén credenciales de API del portal Atlas de GlobalSign
- Crea un recurso de emisor utilizando tus credenciales de API emitidas por GlobalSign.
- Una vez configurado el recurso emisor, crea una solicitud de firma de certificado (CSR) para el recurso Kubernetes.
- Una vez aprobado, Atlas emitirá un certificado.
Incorpora seguridad a tus cargas de trabajo de Kubernetes
Nuestro emisor de Atlas para cert-manager permite a los desarrolladores asegurar una variedad de casos de uso con certificados SSL/TLS de confianza para que puedan centrarse en el desarrollo de aplicaciones. Se puede descargar e instalar desde nuestro repositorio de GitHub AQUÍ.
Find out more:
Descargar la ficha técnica
