Réalisée avec une version totalement prise en charge du projet open source cert-manager – la solution cloud native de facto conçue par Jetstack (une société de Venafi) pour les développeurs visant à automatiser l’émission et le renouvellement de certificats TLS et mTLS– TLS Protect for Kubernetes fournit une capacité d’observation interne au cluster permettant d’identifier et de remédier aux risques de sécurité qui résultent de certificats mal configurés. Elle offre en outre des options pour les contrôles de sécurité sur l’émission de certificats afin de respecter la politique de l’équipe de sécurité pour renforcer la confiance. Elle inclut également une interface de gestion qui donne une visibilité totale des certificats publics autorisés pour les ingress TLS, ainsi que des certificats privés pour mTLS intra-service dans des cas d’utilisation de service mesh et pod-to-pod. En établissant une vue détaillée de la POSITION de sécurité de l’entreprise à travers de multiples clusters et plateformes du cloud, y compris des certificats qui ont été manuellement créés par des développeurs, elle identifie de manière proactive Les problèmes opérationnels qui aident les équipes de plate-forme à maintenir l’intégrité des clusters et à éviter les pannes.

Les fonctions dans TLS Protect for Kubernetes comprennent :

• Observabilité – Par le biais d’une interface de gestion complète basée sur le web, les équipes chargées de la sécurité et de la plate-forme peuvent facilement découvrir des identités machines utilisées à travers tous les clusters, y compris les alertes sur la santé, la conformité et la configuration de l’infrastructure de gestion de l’identité machine. Cette interface fournit un statut visuel instantané de tous les certificats de charge de travail, y compris de leur association avec les ressources Kubernetes et les configurations de certificats X.509. Cela inclut les certificats qui ont été manuellement créés par des développeurs. L’interface fonctionne à la fois comme un outil de contrôle des clusters et de gestion de l’identité machine afin d’identifier de potentielles failles de sécurité, telles que des charges de travail non autorisées, et de recommander de manière proactive des correctifs pour des erreurs de configuration de cluster identifiées.

• Cohérence – TLS Protect for Kubernetes applique la politique d’identité machine pour TLS, mTLS et SPIFFE VID à travers tous les clusters sur la base de politiques de sécurité de l’entreprise. Cela permet de s’assurer que la bonne version de cert-manager est utilisée et configurée de manière cohérente.

• Fiabilité – Le produit s’intègre de manière native avec des environnements Kubernetes pour assurer performance et modularité, y compris une version conforme FIPS 140-2 et signée, prise en charge dans le commerce, du projet cert-manager open source visant à fournir une gestion de l’identité machine à l’échelle de l’entreprise à travers des environnements Kubernetes. Lors de la création de chaque nouveau cluster, des équipes de sécurité peuvent habiliter les équipes de plate-forme en utilisant TLS Protect for Kubernetes afin d’auto-amorcer automatiquement une version renforcée et totalement prise en charge de cert-manager avec chaque nouveau cluster. Cela permet d’apporter une meilleure cohérence quant à la façon dont les outils de sécurité sont gérés à travers des environnements multi-cluster et cela réduit le risque de dérive de sécurité pour les environnements de production.

• Liberté de choix – TLS Protect for Kubernetes prend en charge des configurations multi-cloud, des prestataires de plate-forme cloud et des distributions Kubernetes. Elle intègre également des coffres-forts populaires et d’autres solutions cloud native et DevOps.