Airbnb 近日宣布开源 Ottr,这是一个 Airbnb 内部开发及使用的无服务器公钥基础设施(PKI、Public Key Infrastructure)框架。Ottr 无需使用代理即可处理端到端的证书轮换。它的主要设计意图旨在成为 AWS 上的一个可扩展和可配置的无服务器框架。
PKI 管理数字证书的发放,以保护敏感数据,提供唯一的数字身份,并确保安全的端到端通信。证书颁发机构(CA)负责代理这些 X.509 证书,并拥有用于审查接收者和颁发过程的政策、实践和程序。下面的图片描述了签发证书的标准过程。
Ottr 可以为能够从远程会话(如 API、SSH、SSM 代理)管理自己的 X.509 证书的主机(如网络基础设施、 Linux 、Windows)处理端到端的证书轮换。虽然当前的实现仍在使用 Let's Encrypt 作为证书颁发机构 (CA),但 Ottr 可以扩展到任何支持 ACME 协议的 CA。
Airbnb 的安全工程师 Kenneth Yang 在博文中写道:“由于为工程团队节省了时间,以及减少了运营开销,因此我们已经看到了投资回报。自从 Airbnb 在今年年初引入 Ottr 以来,在没有任何人工干预的情况下,已经进行了数千次的证书轮换。这解决了多个团队的痛点,包括负责监控和分流过期证书的运营部门,负责人工证书轮换过程的工程部门,以及参与请求审批的安全部门。”
新框架的优点:
- 无服务器:无需管理底层基础设施,这意味着我们无需修补或加固新服务器;
- 有限的依赖:唯一的主要依赖是 ACME 客户端(acme.sh);
- 可定制:Ottr 在设计上是模块化的,这意味着当额外的平台被引入基础设施时,它为开发人员提供了构建自定义集成的能力。开发者可以使用 Let's Encrypt 以外的证书授权机构,只要他们支持 ACME 协议;
- 可扩展:能够每天执行数千次证书轮换;
- 安全性;
- 自动化:Ottr 无需任何人工干预即可处理端到端的证书轮换
- 可移植性:Ottr 通过 Terraform 构建了 100 多个资源,这些资源可通过模块轻松配置并可在任何 AWS 环境中部署;
- 成本:Ottr 可以与运行 ACME 的私有或公共 CA(例如,Let's Encrypt)一起使用,无需额外成本;
- 错误处理:通过 Slack 提供关于运行时任何潜在错误的即时反馈;
- 开源:任何人都可以贡献,随着框架的成熟可以引入新的平台支持;
支持的平台
PAN-OS 8.xPAN-OS 9.xF5 BIG-IP 14.xOpengear Lighthouse 21.xLinux Ubuntu 16.04/18.04/20.04Windows Server 2019
虽然目前市面上有一些基于代理的解决方案可以为 Linux 和 Windows 自动进行证书轮换,但为网络基础设施代理证书的过程通常涉及工程团队的人工干预或使用如 CMP、SCEP 或 EST 这样的注册协议,但后者或多或少都有一定的安全问题。Ottr 已托管至 GitHub,并以 Apache 2.0 协议分发。
猜你喜欢: