Als Teil des Venafi Control Plane‘s für Maschinenidentitäten ermöglicht TLS Protect für Kubernetes Sicherheits- und Plattformteams die einfache und sichere Verwaltung von Cloud-nativen Maschinenidentitäten wie TLS, mTLS und SPIFFE in allen Multi-Cloud- und Multi-Cluster-Kubernetes-Umgebungen eines Unternehmens.
Durch mehr Transparenz, Kontrolle und Automatisierung der Verwaltung von Maschinenidentitäten in komplexeren Cloud-nativen Infrastrukturen können Unternehmen die Zuverlässigkeit ihrer Anwendungen verbessern und Entwicklungs- und Betriebskosten reduzieren.
TLS Protect für Kubernetes basiert auf einer vollständig unterstützten Version des Open-Source-Projekts cert-manager - der nativen Cloud-Lösung, die von Jetstack (einem Venafi-Unternehmen) für Entwickler entwickelt wurde, um die Ausstellung und Erneuerung von TLS- und mTLS-Zertifikaten zu automatisieren.
TLS Protect für Kubernetes bietet eine clusterinterne Beobachtungsmöglichkeit, um Sicherheitsrisiken zu identifizieren und zu beheben, die von schlecht konfigurierten Zertifikaten herrühren. Die Lösung umfasst auch eine Verwaltungsschnittstelle, die eine vollständige Sichtbarkeit von öffentlichen vertrauenswürdigen Zertifikaten für Ingress-TLS sowie von privaten Zertifikaten für Intraservice-mTLS für Pod-to-Pod- und Service-Mesh-Anwendungsfälle bietet.
Durch den Aufbau eines detaillierten Überblicks über die Sicherheitslage des Unternehmens über mehrere Cluster und Cloud-Plattformen hinweg, einschließlich der von Entwicklern manuell erstellten Zertifikate, werden proaktiv betriebliche Probleme identifiziert, die den Plattformteams helfen, die Integrität des Clusters aufrechtzuerhalten und Ausfälle zu verhindern.
Zu den Funktionen von TLS Protect für Kubernetes gehören:
- Kontrolle
Über eine webbasierte Verwaltungsschnittstelle können Sicherheits- und Plattformteams problemlos die in allen Clustern verwendeten Maschinenidentitäten ermitteln, einschließlich Warnmeldungen zum Zustand der Infrastruktur für das Maschinenidentitätsmanagement, zu Compliance und zu Konfigurationen.
Es bietet einen sofortigen visuellen Status aller Workload-Zertifikate, einschließlich ihrer Zuordnung zu Kubernetes-Ressourcen und X.509-Zertifikatskonfigurationen. Dies schließt auch Zertifikate ein, die manuell von Entwicklern erstellt wurden.
Die Schnittstelle fungiert sowohl als Cluster-Überwachungs- wie auch als Maschinen-Identitätsmanagement-Tool, um potenzielle Sicherheitslücken, wie nicht autorisierte Workloads zu identifizieren und proaktiv Korrekturen für identifizierte Cluster-Konfigurationsfehler zu empfehlen.
- Konsistenz
TLS Protect für Kubernetes setzt die Maschinenidentitätsrichtlinie für TLS, mTLS und SPIFFE VID in allen Clustern auf der Grundlage der Sicherheitsrichtlinien des Unternehmens durch. Dadurch wird sichergestellt, dass die richtige Version von cert-manager verwendet und konsistent konfiguriert wird.
- Zuverlässigkeit
Das Produkt lässt sich nativ in Kubernetes-Umgebungen integrieren, um Leistung und Skalierbarkeit zu gewährleisten. Dazu gehört auch eine kommerziell unterstützte, FIPS 140-2-konforme und signierte Version des Open-Source-Projekts cert-manager, die eine unternehmensgerechte Verwaltung von Maschinenidentitäten in Kubernetes-Umgebungen ermöglicht.
Bei der Erstellung jedes neuen Clusters können Sicherheitsteams die Plattformteams unterstützen, indem sie TLS Protect für Kubernetes verwenden, um automatisch eine vollständig unterstützte und gehärtete Version von cert-manager mit jedem neuen Cluster zu booten.
Dies sorgt für mehr Konsistenz bei der Verwaltung von Sicherheitstools in Umgebungen mit mehreren Clustern und verringert das Risiko von Sicherheitsabweichungen in Produktionsumgebungen.
- Wahlfreiheit
TLS Protect für Kubernetes unterstützt Multi-Cloud-Konfigurationen, Cloud-Plattformanbieter und Kubernetes-Distributionen. Es lässt sich auch in gängige Geheimnisträger und andere DevOps- und Cloud-native Lösungen integrieren.