Setiap perusahaan memiliki rahasianya sendiri. Mungkin aplikasi dan layanan apa pun memiliki informasi rahasia seperti nama pengguna dan kata sandi, kunci lisensi, kredensial login database, dll. - yang harus disembunyikan dari orang yang tidak berwenang.
Salah satu kategori data terpenting yang disimpan oleh aplikasi modern adalah sertifikat TLS , yang memungkinkan transmisi terenkripsi melalui HTTPS. Kabar baik bagi pengguna Traefik Enterprise adalah bahwa sekarang lebih mudah dari sebelumnya untuk mengelola data sensitif dengan dukungan Vault di Traefik Enterprise 2.3.
Vault adalah alat sumber terbukadikembangkan dan dikelola oleh HashiCorp, menawarkan repositori pusat yang aman dan terenkripsi untuk informasi sensitif. Vault di Traefik Enterprise 2.3 dapat digunakan untuk mengelola sertifikat dengan dua cara. Pertama, Vault dapat digunakan sebagai penyimpanan kunci untuk sertifikat. Kedua, Vault dapat menjadi pemecah sertifikat, yang memungkinkannya menghasilkan sertifikat secara dinamis dengan cepat. Mari kita lihat kedua kasus penggunaan tersebut.
Menggunakan Vault sebagai Penyimpanan Kunci untuk Sertifikat
Traefik telah lama mendukung repositori nilai kunci seperti Consul, etcd, dan ZooKeeper. Penyedia Vault untuk Traefik Enterprise 2.3 dan yang lebih baru dapat menyambung ke Vault dengan cara yang sama, menggunakannya sebagai penyimpanan data nilai kunci untuk menyimpan dan mengambil sertifikat TLS.
Langkah pertama adalah mengonfigurasi mekanisme rahasia Vault untuk digunakan dengan Traefik Enterprise. Traefik Enterprise saat ini mendukung KV Secrets Engine - Versi 2 , yang saat ini merupakan mesin default dan mudah diaktifkan dari baris perintah. Direkomendasikan untuk menggunakan penyimpanan KV terpisah untuk sertifikat TLS, dan ingat bahwa semua sertifikat harus dienkode base64 dan disimpan di root mesin rahasia KV.
Selanjutnya, yang tersisa hanyalah menyertakan Penyedia Vault dalam konfigurasi Traefik Enterprise statis. Hanya membutuhkan beberapa baris kode, dan contoh umum (dalam YAML) mungkin terlihat seperti ini:
Cuplikan ini mengarah ke URL server Vault dan menyetel token yang diperlukan untuk mengautentikasi dengannya. (Saat ini, Vault hanya mendukung autentikasi token.) Ini juga menentukan seberapa sering penyedia akan mengambil data dari KV Vault.
Itu saja! Setelah dikonfigurasi, Traefik Enterprise mengenali sertifikat di toko untuk diproses. Dan seperti biasa dengan Traefik Enterprise, konfigurasi diperbarui secara otomatis setiap kali Anda menambahkan atau menghapus sertifikat dari Vault.
Jika Anda ingin mempelajari lebih lanjut tentang cara menyiapkan Penyedia Vault untuk Traefik Enterprise, lihat dokumentasinya .
Menggunakan Vault sebagai Pemecah Sertifikat PKI
Pengguna Traefik yang berpengalaman mengetahui dukungan untuk pembuatan sertifikat otomatis menggunakan protokol ACME dan penyedia layanan yang kompatibel seperti Let's Encrypt . Traefik Enterprise 2.3 menambahkan alat tambahan baru untuk mengotomatiskan proses pembuatan sertifikat dalam bentuk dukungan untuk infrastruktur kunci publik - Vault Public Key Infrastructure (PKI) .
Mekanisme rahasia PKI Vault mencakup fitur autentikasi dan otorisasi bawaan yang memungkinkan sertifikat dibuat dengan cepat, tanpa proses tradisional untuk membuat kunci secara manual dan mengirimkannya ke Otoritas Sertifikat.
Otomatisasi ini sangat berharga dalam lingkungan dinamis berbasis layanan mikro di mana layanan cenderung berumur pendek dan kontainer dengan cepat dibuat dan dihancurkan sesuai permintaan.
Mengonfigurasi Vault sebagai penyelesai sertifikat hampir semudah mengonfigurasi Penyedia Vault yang dibahas sebelumnya. Setelah menginstal Vault dengan PKI Secrets Engine diaktifkan, mengonfigurasi fitur hanya perlu menambahkan beberapa baris ke konfigurasi Traefik Enterprise statis. Misalnya:
Setelah menyelesaikan pengaturan untuk penyelesai sertifikat dan menetapkannya ke Rute di Traefik Enterprise, Vault akan mulai membuat sertifikat untuk permintaan yang cocok dengan pola. Untuk mempelajari lebih lanjut tentang cara kerjanya, lihat dokumentasi .
Ada juga panduan pengguna praktis yang memandu proses penerapan layanan sederhana yang sesuai dengan TLS dari Vault ke Kubernetes.
Amankan data Anda dengan Traefik Enterprise
Traefik Labs dengan bangga menawarkan dukungan Vault di Traefik Enterprise sebagai bukti lebih lanjut dari komitmen kami untuk memberikan fitur terbaik di kelasnya yang dibutuhkan oleh organisasi yang sadar keamanan. Menggunakan Vault untuk mengelola informasi sensitif adalah langkah maju dalam mengamankan jaringan Anda; menggunakan Vault dengan Traefik Enterprise membuat langkah ini semakin mudah. Menggunakan Vault untuk mengelola data sensitif adalah langkah maju dalam mengamankan jaringan Anda; menggunakan Vault dengan Traefik Enterprise membuat langkah ini semakin mudah. Mulailah uji coba gratis 30 hari Anda dan lihat bagaimana Traefik Enterprise dapat membantu membuat infrastruktur Anda lebih fleksibel, andal, dan aman.