Gestión de certificados: distribución de claves privadas con el marco de Netflix Lemur

Navega tus respuestas
4

Mi equipo ha tenido algunos desafíos con nuestras herramientas de administración de PKI internas actuales y estamos buscando otras soluciones. Uno de los miembros de mi equipo me envió un enlace a una página sobre Lemur , un marco de código abierto de Netflix.

Es un artículo bastante bien escrito y la mayor parte de lo que se discute parece relevante para las dificultades que he visto y experimentado, pero hay algo en lo que estoy confundido.

El siguiente diagrama pretende mostrar "un proceso de adquisición típico".

Loquenormalmenteharíaesgenerarunnuevopardeclavesenelhostusandoalgocomo Java keytool . Esto genera la clave y la almacena en el almacén de claves. Luego, un CA es creado y firmado por la CA. El certificado firmado se importa de nuevo a la tienda. Creo que este diagrama se puede interpretar para describir este proceso, pero no muestra claramente que la clave privada nunca abandone el 'objetivo de implementación'.

El nuevo proceso de adquisición propuesto tiene este aspecto:

Ahora, según el diagrama, parece que la clave privada se genera en un servidor independiente y luego se entrega (probablemente a través de medios seguros) al 'objetivo de implementación'.

La capacidad de generar una CSR y obtener la clave pública firmada sin necesidad de mover una clave privada es bastante complicada para mí. Pensé que fue diseñado de esta manera por una razón. Si bien puedo ver las ventajas desde una perspectiva de conveniencia, ¿no es este enfoque de empujar claves privadas inherentemente un mayor riesgo de exposición de claves privadas?

El texto del artículo dice que puede admitir certificados generados en otros lugares, pero implica que esto es para ayudar a la transición hacia el uso de Lemur para generarlos. No estoy convencido de que sea un paso adelante. ¿Me estoy perdiendo algo?

    
pregunta JimmyJames 28.11.2017 - 18:49
fuente

2 respuestas

2

Sí, así es como lo leería yo también.

Supongo que para una gran empresa basada en la nube como Netflix, el servidor Lemur sería parte de su clúster de entorno de producción virtualizado y, por lo tanto, se mantendría en el mismo nivel de seguridad de red que todo lo demás en el entorno de producción. Por ejemplo, si el destino de la implementación es en realidad un grupo de hosts de máquinas virtuales detrás de un equilibrador de carga (o el propio equilibrador de carga está terminando las conexiones TLS), de todos modos se realizará una copia de la clave privada y tendrán infraestructura para manejar eso adecuadamente Agregar un servidor Lemur al clúster no abre ninguna superficie de ataque adicional más allá de lo que ya es inherente a una gran implementación en la nube.

Para implementaciones más pequeñas en las que su servidor prod es una sola máquina, creo que sus preocupaciones están justificadas y vale la pena hacer algunas preguntas sobre copias adicionales de la clave privada que flotan alrededor.

    
respondido por el Mike Ounsworth 28.11.2017 - 19:08
fuente
1

En general, en el pasado, Netflix ha comunicado que implementan AMI horneadas (imágenes de máquinas virtuales) de su código, que se reducen a lo que necesitan exactamente. Por lo general, esto también significa que están utilizando un grupo de autoescalado en Amazon que se acelera cuando lo requieren. Esto está cambiando con los contenedores, pero se mantiene el mismo principio general. 1

Esto generalmente tiene una implicación importante para los secretos como las claves privadas. No los está generando en el host que ejecutará su servicio & no cocer los secretos en el artefacto de la aplicación. Los tira hacia abajo en el tiempo de ejecución o se cargan en un equilibrador de carga.

El segundo bit que creo que Lemur tiene en mente y otro producto llamado Vault from HashiCorp es muy importante, es que usted centraliza donde genera / almacena secretos para tener una distribución limitada de dónde están. También significa que no está horneando cosas adicionales para la generación de certificados en sus imágenes de producción. Significa que probablemente tengas algunos objetivos jugosos, pero lo que he visto de muchos de estos jugadores es que es más fácil proteger centralmente algunas cosas segregadas por el radio de explosión que proteger pobremente cientos o miles de cosas. Por lo general, esto va acompañado de secretos de vida más corta, de modo que si / cuando las cosas se ponen en peligro simplemente lo cambias y tienes práctica para hacerlo, por lo que el daño es limitado.

    
respondido por el sidewinder12s 19.12.2017 - 20:34
fuente

Lea otras preguntas en las etiquetas

¿Qué peligros hay al almacenar mi clave privada en diferentes servidores? Evitando la visibilidad de Netflow en el tráfico SSL