Gestione certificati: distribuzione di chiavi private con framework Netflix Lemur

4

Il mio team ha avuto alcune difficoltà con i nostri attuali strumenti di gestione PKI interni e stiamo cercando altre soluzioni. Uno dei membri del mio team mi ha inoltrato un link a una pagina su Lemur , un framework open source di Netflix.

È un articolo ben scritto e la maggior parte di ciò che viene discusso sembra rilevante per le lotte che ho visto e vissuto, ma c'è una cosa di cui sono confuso.

Il seguente diagramma ha lo scopo di mostrare "un tipico processo di approvvigionamento".

Quellochefareiingenereègenerareunanuovacoppiadichiavisull'hostusandoqualcosacome keytool Java . Questo genera la chiave e la memorizza nel keystore. Quindi un CSR viene creato e firmato dalla CA. Il certificato firmato viene quindi reimportato nello store. Penso che questo diagramma possa essere interpretato per descrivere questo processo ma non mostra chiaramente che la chiave privata non lascia mai la "destinazione di distribuzione".

Il nuovo processo di approvvigionamento proposto è simile a questo:

Ora,sembrerebbedaldiagrammachelachiaveprivatasiageneratasuunserverseparatoepoiconsegnata(presumibilmentetramitemezzisicuri)alla"destinazione di distribuzione".

La capacità di generare un CSR e di ottenere la firma della chiave pubblica senza dover spostare una chiave privata in giro mi sembra piuttosto azzeccata. Pensavo che fosse stato progettato in questo modo per una ragione. Mentre posso vedere i vantaggi dal punto di vista della convenienza, non è questo approccio di spingere le chiavi private ad aggiungere di per sé più rischio di esposizione alla chiave privata?

Il testo dell'articolo dice che può supportare certificati generati altrove, ma implica che questo è di aiuto per passare all'utilizzo di Lemur per generarli. Non sono convinto che sia un passo avanti. Mi manca qualcosa?

    
posta JimmyJames 28.11.2017 - 18:49
fonte

2 risposte

2

Sì, è così che vorrei leggere anche quello.

Suppongo che per una grande azienda basata su cloud come Netflix, il server Lemur faccia parte del proprio cluster di ambiente di produzione virtualizzato e quindi sia tenuto allo stesso livello di sicurezza della rete di tutto il resto dell'ambiente di produzione. Ad esempio, se la destinazione di distribuzione è in realtà un cluster di host di macchine virtuali dietro un load balancer (o il load-balancer stesso sta terminando le connessioni TLS) allora una certa quantità di copia di chiavi private si verificherà comunque e avranno un'infrastruttura per gestiscilo correttamente L'aggiunta di un server Lemur al cluster non apre alcuna superficie di attacco aggiuntiva oltre a ciò che è già intrinseco a una distribuzione su cloud di grandi dimensioni.

Per le distribuzioni minori in cui il tuo server di produzione è una singola macchina, allora penso che le tue preoccupazioni siano giustificate e vale la pena di porre alcune domande sulle copie aggiuntive della chiave privata mobile.

    
risposta data 28.11.2017 - 19:08
fonte
1

Generalmente in passato Netflix ha comunicato di distribuire AMI cotti (immagini VM) del loro codice, che sono ridotti a esattamente ciò di cui hanno bisogno. Questo di solito significa anche che stanno usando un gruppo di autoscaling in Amazon che viene attivato come richiesto. Questo sta cambiando con i contenitori, ma lo stesso principio generale vale. 1

Questo di solito ha una delle principali implicazioni per i segreti come le chiavi private. Non li stai generando sull'host che eseguirà il tuo servizio & non infornare i segreti nell'artefatto dell'applicazione. Li estrai in fase di esecuzione o vengono caricati su un servizio di bilanciamento del carico.

Secondo punto che penso che Lemur abbia in mente e un altro prodotto chiamato Vault di HashiCorp spinge pesantemente è che tu centralizzi dove generi / archivi segreti in modo da avere una diffusione limitata di dove sono. Significa anche che non stai preparando altro materiale per generare cert nelle tue immagini di produzione. Significa che probabilmente hai alcuni obiettivi succulenti, ma il succo che ho visto da molti di questi giocatori è che è più facile proteggere centralmente alcune cose segregate dal raggio di esplosione piuttosto che proteggere male centinaia o migliaia di cose. Di solito, questo è dovuto ai segreti più brevi vissuti, quindi se / quando le cose vengono compromesse, basta cambiarle e fare pratica nel farlo in modo che il danno sia limitato.

    
risposta data 19.12.2017 - 20:34
fonte