行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
网络安全:关于PKI的九件事
2022-11-05 19:52:58 【

直到最近,公钥密码学一直是一个相当小众的实践。然而,随着远程工作、云计算和物联网设备的出现,证书的数量和普及程度都出现了爆炸式增长。


这种日益增长的脆弱性正成为恶意行为者青睐的攻击载体。与此同时,企业陷入了困境,争相评估整个组织的证书状态,并实施保护和管理证书的长期政策。


Keyfactor的《2022年机器身份状态报告》显示,企业平均拥有269,562个公共和私有证书。


当将管理公开密钥基础设施(PKI)添加到您的团队的主要职责中时,这是一项艰巨的任务。为了有效地管理和扩展PKI,安全团队需要知道很多事情——这就是为什么我们列出了您应该考虑的9件事情。


1. 可见性是关键,你的团队可能没有他们认为的那样的洞察力。

Keyfactor和Ponemon在2021年发布的一份报告显示,50%的公司不知道自己到底有多少密钥和证书。在Keyfactor的2022年机器身份状态报告中,获得所有证书的完全可见性是PKI和证书管理的首要任务。


这是PKI扩展的症状——不同的团队使用不同的证书颁发机构(平均21个),没有集中的中心来跟踪和管理证书。为了增加复杂性,许多组织没有在整个企业中建立明确的PKI所有权。


实现一个证书生命周期管理解决方案就是答案。Keyfactor Command是一个证书生命周期管理和自动化解决方案,它可以作为服务部署,也可以与云托管的私有PKI(称为PKI as-a- service)结合。无论选择何种部署方式,您都能够快速发现和管理环境中的现有证书,然后随着业务需求的增长扩展PKI操作。


2. 管理PKI是一项全职工作。

许多IT和安全团队有太多其他优先级,无法将PKI管理纳入他们的日常职责。在一天结束的时候,其他的职责对他们的角色本质来说更重要。PKI将在维护系统、响应事件和调查警报方面处于次要地位。根据Keyfactor的2022年机器识别状态报告:


65%的企业担心由于TLS证书寿命缩短而导致的工作负载增加和中断风险。

50%的人说他们没有足够的IT人员专门负责他们的PKI。

33%的组织将时间和预算不足列为采用企业级PKI管理策略的最大挑战。

与此同时,证书的寿命正在缩短,以使企业免受证书泄露或被盗的威胁。自2020年以来,398天一直是证书的普遍使用寿命。然而,许多认证机构正在采用90天的有效期。


这些有效期将继续缩短,这意味着证书将以更高的频率过期,这将增加没有可靠系统管理PKI的组织所面临的风险。如果没有足够的PKI资源,维护过期证书的代价将越来越高。


3.管理PKI需要特定于PKI的专业知识。

“好吧,”您想,“我们只需创建一个内部PKI团队,由我们现有的IT和安全分析师组成。”


组织经常把PKI推给以前管理PKI经验有限(有时甚至没有)的人员。尽管您的IT和安全技术人员可能很有能力,但在不断变化的PKI环境中,他们是从零起点开始的。


围绕PKI的变化和不确定性水平是采用企业级PKI管理策略的最大挑战。

缺乏技术人员是采用全企业战略面临的第二大挑战。 [Keyfactor 's 2022年机器识别状态报告]

学习曲线太陡,风险太高,不能把您的PKI交给任何在PKI领域没有经验和知识的人。


要使PKI正确,首先要从设计开始。然而,有大量的PKI设计方面,一旦配置,在没有完全重新部署的情况下是无法更改的。这些严格的方面对PKI的长期使用有重大影响。


4. 手工流程使PKI不可能有效地扩展。

专用的PKI人员和资源正变得至关重要。如果PKI必须落到负有其他重要责任的IT和安全专业人员手中,组织必须努力尽可能减少PKI管理的复杂性。


在任何环境中,手工过程都是现代化、规模和转换的敌人。在PKI上下文中,手工处理加上缺乏PKI专业知识会导致灾难。


手动请求、生成和部署新证书的过程是非常繁琐的,尤其是在不熟悉PKI的情况下。

42%的组织仍然使用电子表格来跟踪和管理证书。然而,电子表格不能在证书到期或即将到期时通知您,也不能标记手动数据输入带来的错误。

手工过程使自己适合于团队的特别的、不一致的使用。这种标准化的缺乏使得推动和扩展最佳实践非常困难。

当漏洞被发现时,迅速采取行动替换证书是至关重要的,但是手动过程使其无法以必要的速度进行响应。在发生CA妥协的情况下尤其如此,因为这需要大量颁发新证书。

自动化就是答案。使用集中的PKI管理平台,您不必照看您的证书。从持续监视和自动警报到API集成,再到允许终端用户执行自己的证书流程,自动化PKI流程是实现规模的关键。


5. 正确的PKI管理对于现代运营需求至关重要。

远程工作、物联网、DevOps——传统的网络边界已今非昔比。团队成员需要安全访问系统和应用程序,以支持他们的工作流程。在远程工作和物联网方面,保护设备安全的挑战在于一系列不受你控制的新条件和因素。如果有人在远程工作,他们访问您的服务器的设备和网络可能在安全方面不合格。对于物联网设备,设备必须连接到服务器来验证所有权,无论它在哪里被激活。


对于DevOps来说,最重要的是规模和速度。上面描述的手工PKI流程对DevOps的发展势头和实现CI/CD提出了重大挑战。精简、高效的PKI可以加快开发周期,同时提高质量——而不牺牲安全性。


6. 加密敏捷性正变得不仅仅是一种美好的拥有。

无论您现在的安全姿态有多强硬,它都会随着时间的推移而恶化。新技术和新威胁层出不穷。只要有足够的时间,任何安全实现都会失败,没有任何单独的加密方法是无敌的。


业务敏捷性意味着以最小的中断快速适应的能力。在PKI上下文中,加密敏捷性意味着您的企业可以在不破坏整个IT或安全基础设施的情况下发展其PKI流程。加密敏捷性允许组织在漏洞被破坏、破坏或遵从性惩罚暴露之前保持领先。


敏捷性和适应性创造了可持续性—一个持久的PKI体系结构,它可以随您的企业一起成长,与不断提高的法规遵从性保持同步,甚至有助于创新活动。


7. 好的PKI从设计开始。

围绕PKI的用例和数量的激增需要一组新的最佳实践。当从一开始就实现时,这些实践可以保持PKI的完整性,并避免以后进行破坏性的重新部署。


有了PKI,就不需要在进行过程中进行虚构了。在迈出第一步之前,您需要有一个深入的路线图。


PKI在您的组织中是如何使用的?未来需要如何使用它?

在您的组织中,在证书的整个生命周期中管理证书的最佳策略和过程是什么?

您将实施什么控制来支持这些策略和过程?

您将如何捕获、解释和记录计划和PKI的更改?

用良好的设计建立PKI只是一个开始。PKI需要大量的注意和维护才能保持功能。这对于专注于实现PKI但不专注于无限操作它的安全团队来说是有风险的。


8. 审计、审计、审计。

在内部管理PKI时,您需要在您的PKI实践中构建定期审计。审核应该包括对所有PKI组件的证书策略和证书实践声明(CP/CPS)、业务连续性和灾难恢复计划中列出的所有内容进行审查和测试。如果有合理的变更需求,启动变更控制以更新任何文档。把它们看作是活的、呼吸的文档,它们的发展是为了维护PKI预期的保证级别。


安排和执行自己内部审计的组织可以定期且容易地识别问题,回答外部审计师的问题,并提供所需保证水平的证明。PKI所有者还应该根据当前和新兴的标准(包括CA/浏览器论坛、WebTrust和行业监管机构)来监视和基准测试他们的企业PKI控制。这有助于组织走在可能导致PKI缺陷的趋势的前面。另一个最佳实践是每年进行一次PKI运行状况检查,以发现组织可能没有考虑到的任何内容。


9. 您可以解决PKI,并将其从您的安全团队的盘子中移除。

在内部设计、实现、维护和发展PKI所需的资源成本高昂,技术壁垒很高,特别是在当前网络安全劳动力短缺的情况下。


那么,如何正确地处理PKI实现、管理企业中证书的大量涌现,以及在面对快速变化的环境时通过可见性、可追溯性和自动化来扩展PKI呢?


具有深厚PKI专业知识的合作伙伴可以为您提供实现和操作您自己的内部PKI的交钥匙解决方案,或者他们可以作为白手套服务提供全面的PKI管理。



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇保留格式加密技术发展研究及建议 下一篇如何应对API蔓延的安全风险与挑战..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800