Les équipes DevOps repoussent sans cesse les limites du développement logiciel. Les applications sont développées de plus en plus rapidement. Ce rythme effréné soumet ingénieurs et développeurs à une difficulté supplémentaire. Il leur faut en effet sécuriser chaque étape du cycle de développement — des conteneurs et microservices aux outils de gestion.
La solution de sécurité passe par des certificats SSL/TLS. Or, face à la montagne de services à sécuriser, les ingénieurs n’ont pas les moyens de vérifier manuellement quels certificats ont besoin d’être renouvelés ou arrivent à expiration. Envoyer des demandes aux équipes InfoSec pour gérer les certificats reste compliqué.
Mais alors, comment ces équipes DevOps peuvent-elles se simplifier la vie ? La réponse tient en quatre lettres : ACME (ou plus précisément, en quatre mots.)
Qu’est-ce qu’ACME ?
ACME (Automatic Certificate Management Environment) est un protocole standard pour automatiser l’émission de certificats et les procédures de validation de domaine. Adoptée à grande échelle, cette solution d’automatisation de la gestion des certificats permet aux utilisateurs d’envoyer des demandes d’opérations liées à la gestion des certificats. Ils utilisent alors un ensemble de messages au format JavaScript Object Notation (JSON) transmis via le protocole HTTPS. ACME permet aux entreprises d’établir une communication avec une autorité de certification afin d’automatiser les demandes, l’émission et la révocation de certificats SSL/TLS.
Curieux d’en savoir plus sur le fonctionnement d’ACME ?
Comment sécuriser votre pipeline CI/CD avec l’intégration ACME de GlobalSign
Le protocole ACME permet aux entreprises de sécuriser différents outils de déploiement et de gestion DevOps à l’aide de certificats SSL/TLS GlobalSign. Voici quelques cas d’utilisation :
Kubernetes
Avec l’intégration Atlas-ACME de GlobalSign, les développeurs peuvent sécuriser n’importe quelle application exécutée sur leurs clusters Kubernetes en utilisant les certificats SSL/TLS de GlobalSign via Cert-manager de Jetstack. Cert-manager de Jetstack est un contrôleur de gestion de certificats natif pour Kubernetes, conçu pour fournir un service de « certificats en tant que service » aux développeurs travaillant dans les clusters Kubernetes. Il simplifie la gestion, l’émission et le renouvellement des certificats, ainsi que la sécurisation du trafic des applications en introduisant les autorités de certification et les certificats comme des ressources essentielles dans l’API de Kubernetes. Grâce à l’intégration ACME de GlobalSign, les développeurs peuvent sécuriser les ingresses et les pods via Cert-Manager.
Conteneurs Docker
Le protocole ACME permet aux utilisateurs de Docker d’automatiser la création et le renouvellement des certificats pour sécuriser les conteneurs Docker. Les utilisateurs peuvent faire des demandes de certificats SSL/TLS privés de GlobalSign à un serveur ACME pour sécuriser la communication entre les conteneurs Docker et les hôtes. Ils peuvent créer une configuration Docker-compose qui exécute Nginx dans un conteneur et un service pour obtenir et renouveler les certificats HTTPS dans un autre. Ils peuvent par la suite récupérer leur certificat depuis le serveur ACME via des liaisons de compte externe (EAB, External Account Binding).
Ansible
Avec Ansible, les utilisateurs peuvent configurer GlobalSign en tant qu’autorité de certification pour émettre des certificats, en indiquant pour cela les clés et les secrets d’API, ainsi que mTLS. Les développeurs peuvent sécuriser leurs serveurs internes, tels que les serveurs Web Apache et Nginx, en utilisant les « Playbooks » Ansible. Grâce aux « Tâches » des « Playbooks » Ansible, ils peuvent demander, afficher ou révoquer les certificats GlobalSign via le protocole ACME. Enfin, ils peuvent aussi effectuer une validation de revendication de domaine avec l’une des différentes méthodes proposées (http/dns/email).
Service Mesh
Les entreprises peuvent sécuriser les communications inter-pods telles que Istio et Linkerd à l’aide de certificats mTLS demandés via ACME et cert-manager.
Chef
Tout comme les utilisateurs peuvent créer un « Playbook » Ansible pour sécuriser les serveurs Web Apache et Nginx, les développeurs peuvent créer un « Cookbook » ACME pour créer des demandes de certificats GlobalSign afin de sécuriser leurs serveurs.
Signature de code
Les développeurs peuvent rapidement signer leur code en installant un plugin Jenkins ACME pour signer des builds à l’aide des certificats SSL/TLS de signature de code de GlobalSign, demandés via ACME.
Pourquoi utiliser l’intégration ACME de GlobalSign pour sécuriser vos services DevOps ?
Pourquoi l’intégration Atlas — ACME de GlobalSign est-elle l’une des meilleures solutions pour automatiser la gestion des besoins de sécurité en environnement DevOps ?
-
Rapidité
En environnement DevOps, la rapidité est cruciale pour assurer un fonctionnement méticuleux. Grâce à l’automatisation offerte par ACME, les demandes de certificats GlobalSign peuvent être traitées en quelques secondes, garantissant rapidement la sécurité de votre serveur DevOps.
-
Usage à grande échelle
Largement utilisé et simplifié, le protocole aide les développeurs à sécuriser leur environnement en quelques secondes, leur permettant ainsi de se concentrer sur le développement d’applications.
-
Sécurité du pipeline CI/CD
L’intégration ACME de GlobalSign peut être intégrée à de nombreux outils DevOps pour gérer les certificats. Que ce soit pour sécuriser les communications pod-à-pod en utilisant des clusters Kubernetes, ou pour utiliser SSL/TLS dans le but de sécuriser des ressources Ingress.
-
Rester à jour
L’utilisation du protocole ACME pour automatiser la gestion des certificats permet aux entreprises de garantir que leurs serveurs et environnements sont sécurisés, à jour et conformes.
-
Vos secrets et vos clés en sécurité chez vous
Avec ACME, les entreprises conservent le contrôle de leurs secrets et de leurs clés privées au lieu de les confier à un tiers. Pour certaines, cela représente une source de confiance et de sécurité supplémentaire.
En savoir plus sur la sécurisation de votre environnement DevOps avec ACME
