E安全3月29日訊隨著互聯網標準組織希望通過縮短證書生命周期的新要求來提高信任度和安全性,并且在線隱私法案引入了越來越嚴厲的法規要求,證書管理的商業風險也在不斷增加。
我們都曾在Microsoft,Spotify和California Covid-19測試站點之類的防彈組織那里聽到過有關停機等令人震驚的故事。這些(以及許多其他)最近的中斷是由于未記錄在案的安裝或證書過期而引起的。這種代價高昂的停電很容易避免,但它們一次又一次地發生,不影響任何行業或地理環境。
隨著互聯網標準組織希望通過縮短證書生命周期的新要求來提高信任度和安全性,并且在線隱私法案引入了越來越嚴厲的法規要求,證書管理的商業風險也在不斷增加。現在該結束容易出錯的手動流程和電子表格了。
證書自動化的四大支柱如何塑造下一個常態:
關于證書自動化的討論和理論討論比實際應用更多。IETF協議和第三方工具提供了幫助,但是許多組織在此過程中仍存在空白,這使得有效的證書管理充其量不過是個挑戰。借助完整的證書自動化,企業可以降低證書過期或不知情地部署在環境中時遭受破壞和中斷的風險,并且隨著安全性和業務環境的不斷發展,企業可以快速,靈活地做出響應。
證書自動化的四個主要方面旨在將企業從戰術帶到戰略:發現,部署,生命周期管理和更新。
支柱1:發現
要確保現代企業的安全,首先要查找并分類所有證書。IT或網絡安全團隊可能沒有直接發現在您的環境中徘徊的流氓證書。這些看似非關鍵的證書正在滴答作響,是個定時炸彈,如果被遺忘或忽略,則會留下大量的安全漏洞。通過使用定期掃描整個環境的自動發現,可以識別每個證書,并且不會有流氓證書被發現直到為時已晚的情況發生。
支柱2:部署
在正確的時間為正確的目的手動設置或注冊證書是一項非常耗時的任務。僅在一臺服務器上部署SSL證書最多可能需要2個小時!但這僅僅是開始–子任務,例如記錄每個證書的位置和目的,根據各種端點設備和不同的操作系統配置證書,然后確認每個證書正確執行,這增加了所需的時間和精力。
當今的企業需要快速敏捷的行動,以跟上不斷變化和迅速變化的步伐。除了節省時間以外,自動部署還意味著減少人為錯誤并提高可靠性和一致性。幸運的是,IETF標準(例如自動證書管理環境(ACME)協議)正在受到關注,并涵蓋了從端到端證書管理的大多數用例。
支柱3:生命周期管理
證書包括企業用來在組織內定義信任的要求和策略,從而擴展了僅使用高度信任的密鑰體系結構的安全性。為了確保證書始終處于最佳狀態,組織需要能夠按需快速有效地吊銷和替換證書,而無需花費大量時間。每個證書花費2個小時以上是不合理的:它需要無縫且大規模地進行。
自動化的生命周期管理使吊銷和更換證書成為無接觸的過程。管理員不會等到到期日期才進行關鍵證書升級。相反,他們可以簡單地下訂單,提供新的有效證書并吊銷舊證書。一切都將自動關閉,而無需停機。
支柱4:更新
所有證書都有有效期。這是證書的基本信任元素,它是有時間限制的,需要被替換。從2020年9月開始,瀏覽器進一步將證書有效期縮短到397天,使組織仍在通過電子表格管理成百上千的證書。當證書過期而沒有被替換時,那就是我們開始看到有關停機或破壞的頭條新聞。及時更新證書是網絡安全的基石。
一些組織聲稱它是自動化的,因為其過程的一部分是自動化的,例如接收有關證書即將到期的電子郵件通知。令人遺憾的是,許多有用的電子郵件最終都淹沒在收件箱,垃圾郵件文件夾中,或者發給度假中的人或不再在組織中工作的人。更重要的是,電子郵件只是警報。它實際上不會續訂并安裝新證書。
盡管組織必須知道續訂即將到來,但是自動化續訂的最重要價值在于,計劃在不影響單個貢獻者干預的情況下運行整個流程。更多的體力勞動等于更高的錯誤風險。
為證書自動化做好準備
通過使用一個證書管理平臺(一個單一的窗格)來發現,部署,管理生命周期以及更新所有數字證書,可以為企業提供最佳服務。可見性是企業實現和增強四大支柱所需的關鍵能力。這樣可以加快并簡化證書管理以及各種證書類型,供應商,公共和私人證書以及需要在不同時間吊銷和續簽的生命周期的復雜性。可見性也是對信托政策和合規性審計進行健全公司治理的基礎。
可見性概念貫穿于證書自動化的四個支柱中,從知道存在哪些證書到了解這些證書背后的PKI(公共密鑰基礎結構)。使用單一的玻璃可見性窗格,安全團隊只需快速瀏覽即可吸收信息,例如密鑰是否符合密鑰長度和密碼要求,以及是否存在基于不推薦使用的哈希算法的不合規證書。
證書管理的自動化程度越高,您的組織和所服務的組織就越富裕且更安全。證書的發現,部署,生命周期管理和續簽自動化是企業從戰術過渡到戰略的方式。
注:本文由E安全編譯報道,轉載請注原文地址
https://www.easyaq.com
