Venafi introduceert TLS Protect for Kubernetes om securityteams te helpen eenvoudig en veilig machine-identiteiten, zoals TLS, mTLS en SPIFFE, te beheren in Kubernetes-infrastructuren. TLS Protect for Kubernetes maakt onderdeel uit van het Venafi Control Plane en vergroot het inzicht, de controle en automatisering voor onder andere TLS, mTLS en SPIFFE-identiteiten binnen multi-cloud en multi-cluster omgevingen. Daarmee helpt deze nieuwe oplossing organisaties om de betrouwbaarheid van applicaties te verbeteren en de kosten voor ontwikkeling en beheer te verlagen.
Gebaseerd op cert-manager
TLS Protect for Kubernetes is gebouwd met een volledig ondersteunde versie van het cert-manager open source-project. Dat is een cloud-native oplossing voor ontwikkelaars, ontworpen door Venafi-bedrijf Jetstack, om TLS- en mTLS-certificaatuitgifte en -vernieuwing te automatiseren. TLS Protect for Kubernetes maakt het gebruik van machine-identiteiten in clusters inzichtelijk om securityrisico’s die voortkomen uit slecht geconfigureerde certificaten te identificeren en op te lossen. Verder biedt het opties voor securitycontroles op de uitgifte van certificaten om te voldoen aan de policies voor het waarborgen van digitaal vertrouwen. Het bevat tevens een managementinterface die volledig inzicht biedt in vertrouwde certificaten voor inkomende TLS en private certificaten voor interservice mTLS- toepassingen zoals pod-to-pod en service meshes. TLS Protect for Kubernetes bouwt een gedetailleerd inzicht op van de securitystatus van een organisatie in meerdere clusters en cloudplatformen, inclusief certificaten die handmatig zijn gemaakt door ontwikkelaars. Tenslotte identificeert het proactief mogelijke operationele problemen, die teams helpen de clusterintegriteit te behouden en storingen te voorkomen.
Samenvatting functionaliteit
TLS Protect for Kubernetes bevat onder andere de volgende functionaliteit:
- Observeerbaarheid: via een webgebaseerde managementinterface zijn eenvoudig machine- identiteiten te ontdekken die in alle clusters worden gebruikt, inclusief waarschuwingen over de status, compliance en configuratie van de gehele infrastructuur voor machine-identiteitsbeheer. Het biedt direct een visueel inzicht van alle workloadcertificaten, inclusief hun koppeling met Kubernetes-resources en X.509-certificaatconfiguraties. Dit geldt trevens voor certificaten die handmatig zijn gemaakt door ontwikkelaars. De interface biedt een tool voor clustermonitoring en voor machine-identiteitsbeheer, om potentiële kwetsbaarheden zoals niet-geautoriseerde workloads te identificeren en proactief oplossingen voor configuratiefouten aan te bevelen.
- Consistentie: TLS Protect for Kubernetes dwingt machine-identiteitsbeleid af voor TLS, mTLS en SPIFFE VID in alle clusters op basis van het eigen securitybeleid en zorgt er tevens voor dat de juiste versie van cert-manager consistent wordt gebruikt en geconfigureerd.
- Betrouwbaarheid: het nieuwe product integreert naadloos met Kubernetes-omgevingen om de prestaties en schaalbaarheid te garanderen, inclusief een commercieel ondersteunde en ondertekende versie van het open source cert-manager-project (FIPS 140-2-compatibel), voor bedrijfsbreed machine-identiteitsbeheer in Kubernetes-omgevingen. Bij elk nieuw gemaakt cluster kan het securityteam de platformcollega’s versterken door TLS Protect voor Kubernetes te gebruiken om automatisch een volledig ondersteunde betrouwbare versie van cert-manager op te starten. Dit levert een betere consistentie op voor het beheren van securitytools binnen omgevingen met meerdere clusters en vermindert het risico op kwetsbaarheden voor productieomgevingen.
- Keuzevrijheid: TLS Protect for Kubernetes ondersteunt multi-clouds, cloudproviders en Kubernetes-distributies. Het is ook te integreren met populaire vaults en andere DevOps- en cloud-native oplossingen.
“Naarmate organisaties verschuiven van traditionele datacenters naar moderne gedistribueerde cloud- native infrastructuren zoals Kubernetes, explodeert het aantal certificaten en machine-identiteiten”, zegt Shivajee Samdarshi, chief product officer bij Venafi. “Dit leidt tot grotere securityrisico’s en behoefte aan inzicht en controles. Via Venafi’s Control Plane moderniseren wij het beheren van machine-identiteiten en maken we het managen daarvan in cloud-native omgevingen eenvoudiger dan ooit. TLS Protect voor Kubernetes geeft security- en platformteams de benodigde observeerbaarheid, consistentie en controle over machine-identiteiten om ervoor te zorgen dat er een gevalideerde en controleerbare vertrouwensketen bestaat voor elke workload die wordt gebruikt in een Kubernetes-cluster. Inclusief het consistent toepassen van certificaatconfiguraties en securitypolicies.”