Airbnb は、社内で開発されたサーバレス公開鍵インフラストラクチャフレームワークである Ottr をオープンソース化すると発表した。Ottr は、エージェントを使用せずにエンドツーエンドの証明書ローテーションを処理する。Ottr の主な設計目標は、運用上のオーバーヘッドや登録プロトコルへの依存がほとんどない AWS 上でスケーラブルで構成可能なサーバレスのフレームワークとすることだ。
Airbnb のセキュリティエンジニアである Kenneth Yang 氏は、Ottr が Airbnb に提供するいくつかの利点について詳しく説明している:
エンジニアリングチームの時間の節約と運用オーバーヘッドの削減により、投資利益率が向上しました。年初に Ottr が導入されて以来、人手の介入なしに数千もの証明書のローテーションが実行されてきました。これにより、期限切れの証明書のチケットの監視とトリアージを担当するオペレーション、手動の証明書ローテーションプロセスを担当するエンジニアリング、リクエストの承認に関与するセキュリティなどの運用にあった複数のチームの問題点が軽減されました。
公開鍵インフラストラクチャ (PKI) は、安全なエンドツーエンド通信を確保するためにデジタル証明書の発行を管理する。認証局 (CA) は、これらの X.509 証明書を仲介する責任があり、受信者と発行プロセスを検証するためのポリシー、プラクティス、および手順を所有している。エンドポイントの証明書を発行するための標準的な方法は、通常、証明書署名要求 (CSR) を生成し、要求を CA に送信し、後で受信した証明書をインストールするための手動の介入である。次の図は、このプロセスを示している。
Airbnb は、セキュリティを重視しながら、手動による介入を必要とせずにこのプロセスをスケールするために Ottr を開発した。Ottr はサーバレスであるため、管理する基盤となるインフラストラクチャはない。追加のプラットフォームとの統合を可能にするためにカスタマイズと拡張が可能であり、Airbnb のエンジニアはスケーラブルで安全、ポータブルで自動化されるように構築した。次の図は、Ottr がサポートする証明書発行プロセスを示している。
Airbnb はサーバレス方式で Ottr をゼロから構築した。AWS Step Function は、デバイスデータのバッチを並行に処理し、証明書ローテーションの対象となるホストごとに ECS コンテナ を実行する。ECS Pulls は Step Function から取得した ECS Task Definition メタデータ要素に基づいて、Elastic Container Registry (ECR) からプラットフォーム固有のイメージをダウンロードする。次に、デバイスへの接続を確立して、デバイス上で公開鍵と秘密鍵のペアと CSR を生成し、CSR をコンテナファイルシステムにプルする。次に、CSR を CA (Let's Encrypt など) に送信して証明書署名フローを開始し、適切な DNS レコードを操作してドメインの有効性を認証する。プロセスが完了すると、証明書がデバイスにアップロードされる。次の図は、Ottr のアーキテクチャと関連するテクノロジを示している。
Yang 氏は Ottr をオープンソース化した動機を説明している:
Ottr は、証明書のプロビジョニングに関連する多くの課題を抽象化すると同時に、運用とセキュリティに関する追加のメリットを提供するために構築されました。Ottr をオープンソース化することで、他の組織のニーズに合わせてフレームワークを共有、コラボレーション、拡張するコミュニティを作りたいと考えています。
Ottr は Apache 2.0 ライセンスの下で GitHub で利用可能だ。