Nu de wereld van cloudcomputing steeds complexer en onderling verbonden wordt, moet Infrastructure-as-Code (IaC) provisioning, onderhoud en beheer op systeemniveau vergemakkelijken. Het zijn zaken waar softwareontwikkelaars van nature geen talent voor hebben. Een belangrijke speler op dit gebied is Pulumi. Het bedrijf komt nu met productverbeteringen die zijn ontworpen om de beveiliging te verbeteren, automatisering te stroomlijnen en meer controle te bieden over cloudbronnen.
Software applicatie-ontwikkelaars zijn (meestal) goed in het knippen van code om applicaties te programmeren en te creëren. Sommigen hebben ook uitgebreide vaardigheden in netwerkconnectiviteit, cloud-native componenten en containerisatie-orkestratie, terwijl anderen goed zijn in debuggen, penetratietesten, security of identiteitsauthenticatiebeheer. De meesten omschrijven zichzelf niet als een van die dingen (of allemaal) en zijn doorgaans geen fervent infrastructuurbeheerder. Dit is geen klein deel van de reden waarom we de opkomst van Infrastructure-as-Code (IaC) platforms hebben gezien.
Het nieuwe aanbod van Pulumi omvat een veilige GitHub Actions-integratie, geautomatiseerde credential-rotatie, uniform beleidbeheer en granulaire toegangscontroles om bedrijven te helpen de cloudinfrastructuur veiliger te beheren.
Wat zijn software-secrets?
Pulumi ESC biedt nu “automated secrets rotation” om de uitdagingen van het beheren van statische, langlevende referenties aan te pakken. Deze functie helpt organisaties om securityrisico’s te minimaliseren en tegelijkertijd te integreren met bestaande workflows. Secrets (gevoelige digitale authenticatiereferenties zoals wachtwoorden, API-sleutels of encryptiesleutels die worden gebruikt om toegang te krijgen tot beveiligde bronnen of systemen) kunnen on-demand en via een rotatieschema worden geroteerd.
Alle secrets worden geroteerd met een two-secret strategie. Hierbij zijn twee secrets op elk moment geldig, zodat de beschikbaarheid tijdens credentialtransities gegarandeerd is. Rotated Secrets heeft volledige controle en tracking van de volledige geschiedenis van credentials, wanneer ze geroteerd zijn en wie ze gebruikt heeft.
De Pulumi ESC GitHub Action stelt teams in staat om secrets en configuraties veilig te injecteren in GitHub Actions workflows als dat nodig is, in plaats van ze op te slaan als statische, langlevende secrets. Er wordt gezegd dat deze aanpak het risico van het lekken van referenties vermindert en tegelijkertijd CI/CD-pijplijnen stroomlijnt. De GitHub Action kan de Pulumi ESC CLI downloaden, alle omgevingsvariabelen van een ESC omgeving injecteren, of specifieke omgevingsvariabelen injecteren als dat nodig is.
We hebben uw RBAC
Volgens Claire Gaestel en Arun Loganathan van Pulumi biedt het nieuwe RBAC-systeem (Role-Based Access Control) van het bedrijf fine-grained controle over wie toegang heeft tot bronnen binnen een organisatie en wie ze mag wijzigen. Het RBAC-systeem verenigt controle over alle producten in Pulumi Cloud en stelt organisaties in staat om aangepaste rollen met specifieke rechten te definiëren, deze rollen toe te passen op gebruikers en teams en de toegang te controleren tot individuele bronnen zoals IaC-stacks, ESC-omgevingen en Pulumi Insights (zie hieronder voor context) accounts. Het systeem ondersteunt ook rolgebaseerde toegangstokens, zodat geautomatiseerde processen alleen de benodigde rechten hebben.
Het zou ongebruikelijk zijn voor een bedrijf om te praten over Infrastructure-as-Code zonder ook te praten over Policy-as-Code en Pulumi stelt niet teleur op dat niveau. Het bedrijf maakt melding van het feit dat de Pulumi Insights-service nu de mogelijkheden van Policy-as-Code uitbreidt om automatisch alle cloudresources te beheren, inclusief die welke buiten Infrastructure-as-Code zijn ontdekt.
“Organisaties kunnen nu één keer beleid schrijven en dit universeel toepassen op zowel IaC als ontdekte bronnen in AWS, Azure, OCI en Kubernetes omgevingen. Pulumi Insights biedt nu uitgebreid inzicht in schendingen van beleidsregels via een speciaal dashboard, waardoor non-compliant resources snel kunnen worden geïdentificeerd en opgelost. Deze uniforme benadering van policy enforcement betekent een belangrijke vooruitgang in cloud security en compliance management en biedt organisaties een meer gestroomlijnde en effectieve manier om hun infrastructuurstandaarden te handhaven,” zegt Tyler Dunkel op de engineering blog van Pulumi.
Nu hebben we alles onder controle, toch?
Pulumi heeft eerder ook zijn arsenaal uitgebreid om de hoofdpijn van Kubernetes te overwinnen, dus met de “uitgebreide visibility” die het nu beweert uit te breiden en de geheimhoudingscontroles die hier worden genoemd en de bredere benadering van infrastructuurautomatisering die het platform van het bedrijf nastreeft, zouden ontwikkelaars op hun lauweren moeten kunnen rusten en weten dat hun provisioning en beheer op lager niveau allemaal in veilige handen is, toch?
Ja, ja, misschien, meestal en waarschijnlijk, voor nu.
Naarmate de complexiteit van cloud computing-platforms blijft groeien, spiraalsgewijs en scheefgroeiend wordt, zal het onvermijdelijk zijn dat Infrastructure-as-Code-spelers zoals Pulumi en zijn concurrenten (we zouden hier Progress, Terraform, Puppet, Ansible en ook Microsofts Azure Resource Manager (ARM) of Google Cloud Deployment Manager (CDM) kunnen noemen) veranderingen in formaten, vormfactoren en formuleringen moeten bijhouden die nog onbekend zijn. Wat deze ruimte, maar houd uw ogen gericht op de infrastructuurzone.
Vrij gebruik van afbeeldingen: Wikimedia Commons
