Los microservicios, como enfoque arquitectónico para el desarrollo de software, se basan en la creación de una aplicación como un conjunto de pequeños servicios, generalmente orquestados por un sistema automatizado. Su adopción está relacionada con el uso de DevOps, la integración y entrega continuas (CI/CD) y los contenedores.

Los microservicios tienen muchos aspectos y significados, y el término puede tener diferentes significados para cada persona. Un aspecto que suele venir a la mente es la implementación y gestión de un gran número de servicios, generalmente en forma de servidores ligeros. Esto, a su vez, crea la necesidad de automatizar la configuración de servidores y aplicaciones, incluyendo las claves de seguridad y las credenciales necesarias.

En relación con PKI, PrimeKey reconoce la importancia de que nuestros productos sean compatibles con DevOps como un aspecto importante, que incluye:

Configuración y ejecución de los productos PKI en un entorno DevOps.
Administrar aplicaciones (no PKI) en un entorno DevOps de forma segura, proporcionándoles certificados, firmas digitales y credenciales a medida que se crean y destruyen servicios.

Las siguientes secciones cubren temas a menudo relacionados con los universos de microservicios y DevOps.

Ejecución de servicios de PKI y firma en entornos DevOps

Al implementar una PKI, ya sea una PKI centralizada única, varias PKI distribuidas o quizás PKI de corta duración para fines específicos, conviene hacerlo con las mismas herramientas y procesos que se utilizan para el resto del entorno. Dos herramientas comunes son Ansible y Kubernetes, y EJBCA funciona bien con ambas. Para obtener más información sobre la implementación de su PKI como máquinas virtuales o contenedores y el uso de Ansible para automatizar la implementación y configuración de PKI, consulte Ejecución de PKI y servicios de firma en entornos DevOps .

Administración de credenciales PKI e identidades de máquinas para aplicaciones en DevOps

Al implementar muchos servicios, es necesario tener en cuenta la gestión de las identidades de las máquinas y los secretos. La gestión de las credenciales PKI y las identidades de las máquinas para aplicaciones debe ser, preferiblemente, automatizada, pero lo más segura posible. Para obtener más información sobre la emisión y la gestión de credenciales PKI e identidades de las máquinas para aplicaciones en DevOps y cómo aprovisionar automáticamente certificados a contenedores en Kubernetes, consulte " Gestión de credenciales PKI e identidades de las máquinas para aplicaciones" .

Uso de EJBCA Enterprise para emitir y administrar certificados a través de (Hashicorp) Vault

HashiCorp Vault es un producto popular para gestionar secretos. Al usar microservicios a gran escala, existen numerosos servicios y secretos que gestionar. HashiCorp Vault incluye una Autoridad de Certificación (CA) integrada; sin embargo, usar esta CA independiente creará una PKI independiente, no conectada a la PKI corporativa. Una PKI independiente no suele ser deseable en las organizaciones, ya que no cumple con los requisitos regulatorios ni de seguridad. Para obtener más información sobre cómo integrar la PKI de Vault en una PKI controlada y gestionada corporativamente, consulte Uso de EJBCA Enterprise para emitir y gestionar certificados a través de (Hashicorp) Vault .

Firma de código

Ningún entorno DevOps está completo sin soluciones de firma de código seguro, que permitan a los equipos de DevOps:

Código de aplicación de firma en desarrollo
Contenedores de señales que se están desplegando
Habilitar la verificación de firmas digitales evitando la instalación de software no autorizado.

Con SignServer Enterprise, es fácil integrar la firma de código segura en la canalización de CI/CD, por ejemplo, con Jenkins. Para más información, consulte la guía práctica de SignServer sobre cómo integrar Jenkins con SignServer para la firma de código automatizada .