E安全3月29日訊隨著互聯(lián)網(wǎng)標(biāo)準(zhǔn)組織希望通過縮短證書生命周期的新要求來提高信任度和安全性,并且在線隱私法案引入了越來越嚴(yán)厲的法規(guī)要求,證書管理的商業(yè)風(fēng)險(xiǎn)也在不斷增加。
我們都曾在Microsoft,Spotify和California Covid-19測(cè)試站點(diǎn)之類的防彈組織那里聽到過有關(guān)停機(jī)等令人震驚的故事。這些(以及許多其他)最近的中斷是由于未記錄在案的安裝或證書過期而引起的。這種代價(jià)高昂的停電很容易避免,但它們一次又一次地發(fā)生,不影響任何行業(yè)或地理環(huán)境。
隨著互聯(lián)網(wǎng)標(biāo)準(zhǔn)組織希望通過縮短證書生命周期的新要求來提高信任度和安全性,并且在線隱私法案引入了越來越嚴(yán)厲的法規(guī)要求,證書管理的商業(yè)風(fēng)險(xiǎn)也在不斷增加。現(xiàn)在該結(jié)束容易出錯(cuò)的手動(dòng)流程和電子表格了。
證書自動(dòng)化的四大支柱如何塑造下一個(gè)常態(tài):
關(guān)于證書自動(dòng)化的討論和理論討論比實(shí)際應(yīng)用更多。IETF協(xié)議和第三方工具提供了幫助,但是許多組織在此過程中仍存在空白,這使得有效的證書管理充其量不過是個(gè)挑戰(zhàn)。借助完整的證書自動(dòng)化,企業(yè)可以降低證書過期或不知情地部署在環(huán)境中時(shí)遭受破壞和中斷的風(fēng)險(xiǎn),并且隨著安全性和業(yè)務(wù)環(huán)境的不斷發(fā)展,企業(yè)可以快速,靈活地做出響應(yīng)。
證書自動(dòng)化的四個(gè)主要方面旨在將企業(yè)從戰(zhàn)術(shù)帶到戰(zhàn)略:發(fā)現(xiàn),部署,生命周期管理和更新。
支柱1:發(fā)現(xiàn)
要確保現(xiàn)代企業(yè)的安全,首先要查找并分類所有證書。IT或網(wǎng)絡(luò)安全團(tuán)隊(duì)可能沒有直接發(fā)現(xiàn)在您的環(huán)境中徘徊的流氓證書。這些看似非關(guān)鍵的證書正在滴答作響,是個(gè)定時(shí)炸彈,如果被遺忘或忽略,則會(huì)留下大量的安全漏洞。通過使用定期掃描整個(gè)環(huán)境的自動(dòng)發(fā)現(xiàn),可以識(shí)別每個(gè)證書,并且不會(huì)有流氓證書被發(fā)現(xiàn)直到為時(shí)已晚的情況發(fā)生。
支柱2:部署
在正確的時(shí)間為正確的目的手動(dòng)設(shè)置或注冊(cè)證書是一項(xiàng)非常耗時(shí)的任務(wù)。僅在一臺(tái)服務(wù)器上部署SSL證書最多可能需要2個(gè)小時(shí)!但這僅僅是開始–子任務(wù),例如記錄每個(gè)證書的位置和目的,根據(jù)各種端點(diǎn)設(shè)備和不同的操作系統(tǒng)配置證書,然后確認(rèn)每個(gè)證書正確執(zhí)行,這增加了所需的時(shí)間和精力。
當(dāng)今的企業(yè)需要快速敏捷的行動(dòng),以跟上不斷變化和迅速變化的步伐。除了節(jié)省時(shí)間以外,自動(dòng)部署還意味著減少人為錯(cuò)誤并提高可靠性和一致性。幸運(yùn)的是,IETF標(biāo)準(zhǔn)(例如自動(dòng)證書管理環(huán)境(ACME)協(xié)議)正在受到關(guān)注,并涵蓋了從端到端證書管理的大多數(shù)用例。
支柱3:生命周期管理
證書包括企業(yè)用來在組織內(nèi)定義信任的要求和策略,從而擴(kuò)展了僅使用高度信任的密鑰體系結(jié)構(gòu)的安全性。為了確保證書始終處于最佳狀態(tài),組織需要能夠按需快速有效地吊銷和替換證書,而無需花費(fèi)大量時(shí)間。每個(gè)證書花費(fèi)2個(gè)小時(shí)以上是不合理的:它需要無縫且大規(guī)模地進(jìn)行。
自動(dòng)化的生命周期管理使吊銷和更換證書成為無接觸的過程。管理員不會(huì)等到到期日期才進(jìn)行關(guān)鍵證書升級(jí)。相反,他們可以簡(jiǎn)單地下訂單,提供新的有效證書并吊銷舊證書。一切都將自動(dòng)關(guān)閉,而無需停機(jī)。
支柱4:更新
所有證書都有有效期。這是證書的基本信任元素,它是有時(shí)間限制的,需要被替換。從2020年9月開始,瀏覽器進(jìn)一步將證書有效期縮短到397天,使組織仍在通過電子表格管理成百上千的證書。當(dāng)證書過期而沒有被替換時(shí),那就是我們開始看到有關(guān)停機(jī)或破壞的頭條新聞。及時(shí)更新證書是網(wǎng)絡(luò)安全的基石。
一些組織聲稱它是自動(dòng)化的,因?yàn)槠溥^程的一部分是自動(dòng)化的,例如接收有關(guān)證書即將到期的電子郵件通知。令人遺憾的是,許多有用的電子郵件最終都淹沒在收件箱,垃圾郵件文件夾中,或者發(fā)給度假中的人或不再在組織中工作的人。更重要的是,電子郵件只是警報(bào)。它實(shí)際上不會(huì)續(xù)訂并安裝新證書。
盡管組織必須知道續(xù)訂即將到來,但是自動(dòng)化續(xù)訂的最重要價(jià)值在于,計(jì)劃在不影響單個(gè)貢獻(xiàn)者干預(yù)的情況下運(yùn)行整個(gè)流程。更多的體力勞動(dòng)等于更高的錯(cuò)誤風(fēng)險(xiǎn)。
為證書自動(dòng)化做好準(zhǔn)備
通過使用一個(gè)證書管理平臺(tái)(一個(gè)單一的窗格)來發(fā)現(xiàn),部署,管理生命周期以及更新所有數(shù)字證書,可以為企業(yè)提供最佳服務(wù)。可見性是企業(yè)實(shí)現(xiàn)和增強(qiáng)四大支柱所需的關(guān)鍵能力。這樣可以加快并簡(jiǎn)化證書管理以及各種證書類型,供應(yīng)商,公共和私人證書以及需要在不同時(shí)間吊銷和續(xù)簽的生命周期的復(fù)雜性。可見性也是對(duì)信托政策和合規(guī)性審計(jì)進(jìn)行健全公司治理的基礎(chǔ)。
可見性概念貫穿于證書自動(dòng)化的四個(gè)支柱中,從知道存在哪些證書到了解這些證書背后的PKI(公共密鑰基礎(chǔ)結(jié)構(gòu))。使用單一的玻璃可見性窗格,安全團(tuán)隊(duì)只需快速瀏覽即可吸收信息,例如密鑰是否符合密鑰長(zhǎng)度和密碼要求,以及是否存在基于不推薦使用的哈希算法的不合規(guī)證書。
證書管理的自動(dòng)化程度越高,您的組織和所服務(wù)的組織就越富裕且更安全。證書的發(fā)現(xiàn),部署,生命周期管理和續(xù)簽自動(dòng)化是企業(yè)從戰(zhàn)術(shù)過渡到戰(zhàn)略的方式。
注:本文由E安全編譯報(bào)道,轉(zhuǎn)載請(qǐng)注原文地址
https://www.easyaq.com
