E安全3月29日讯随着互联网标准组织希望通过缩短证书生命周期的新要求来提高信任度和安全性,并且在线隐私法案引入了越来越严厉的法规要求,证书管理的商业风险也在不断增加。
我们都曾在Microsoft,Spotify和California Covid-19测试站点之类的防弹组织那里听到过有关停机等令人震惊的故事。这些(以及许多其他)最近的中断是由于未记录在案的安装或证书过期而引起的。这种代价高昂的停电很容易避免,但它们一次又一次地发生,不影响任何行业或地理环境。
随着互联网标准组织希望通过缩短证书生命周期的新要求来提高信任度和安全性,并且在线隐私法案引入了越来越严厉的法规要求,证书管理的商业风险也在不断增加。现在该结束容易出错的手动流程和电子表格了。
证书自动化的四大支柱如何塑造下一个常态:
关于证书自动化的讨论和理论讨论比实际应用更多。IETF协议和第三方工具提供了帮助,但是许多组织在此过程中仍存在空白,这使得有效的证书管理充其量不过是个挑战。借助完整的证书自动化,企业可以降低证书过期或不知情地部署在环境中时遭受破坏和中断的风险,并且随着安全性和业务环境的不断发展,企业可以快速,灵活地做出响应。
证书自动化的四个主要方面旨在将企业从战术带到战略:发现,部署,生命周期管理和更新。
支柱1:发现
要确保现代企业的安全,首先要查找并分类所有证书。IT或网络安全团队可能没有直接发现在您的环境中徘徊的流氓证书。这些看似非关键的证书正在滴答作响,是个定时炸弹,如果被遗忘或忽略,则会留下大量的安全漏洞。通过使用定期扫描整个环境的自动发现,可以识别每个证书,并且不会有流氓证书被发现直到为时已晚的情况发生。
支柱2:部署
在正确的时间为正确的目的手动设置或注册证书是一项非常耗时的任务。仅在一台服务器上部署SSL证书最多可能需要2个小时!但这仅仅是开始–子任务,例如记录每个证书的位置和目的,根据各种端点设备和不同的操作系统配置证书,然后确认每个证书正确执行,这增加了所需的时间和精力。
当今的企业需要快速敏捷的行动,以跟上不断变化和迅速变化的步伐。除了节省时间以外,自动部署还意味着减少人为错误并提高可靠性和一致性。幸运的是,IETF标准(例如自动证书管理环境(ACME)协议)正在受到关注,并涵盖了从端到端证书管理的大多数用例。
支柱3:生命周期管理
证书包括企业用来在组织内定义信任的要求和策略,从而扩展了仅使用高度信任的密钥体系结构的安全性。为了确保证书始终处于最佳状态,组织需要能够按需快速有效地吊销和替换证书,而无需花费大量时间。每个证书花费2个小时以上是不合理的:它需要无缝且大规模地进行。
自动化的生命周期管理使吊销和更换证书成为无接触的过程。管理员不会等到到期日期才进行关键证书升级。相反,他们可以简单地下订单,提供新的有效证书并吊销旧证书。一切都将自动关闭,而无需停机。
支柱4:更新
所有证书都有有效期。这是证书的基本信任元素,它是有时间限制的,需要被替换。从2020年9月开始,浏览器进一步将证书有效期缩短到397天,使组织仍在通过电子表格管理成百上千的证书。当证书过期而没有被替换时,那就是我们开始看到有关停机或破坏的头条新闻。及时更新证书是网络安全的基石。
一些组织声称它是自动化的,因为其过程的一部分是自动化的,例如接收有关证书即将到期的电子邮件通知。令人遗憾的是,许多有用的电子邮件最终都淹没在收件箱,垃圾邮件文件夹中,或者发给度假中的人或不再在组织中工作的人。更重要的是,电子邮件只是警报。它实际上不会续订并安装新证书。
尽管组织必须知道续订即将到来,但是自动化续订的最重要价值在于,计划在不影响单个贡献者干预的情况下运行整个流程。更多的体力劳动等于更高的错误风险。
为证书自动化做好准备
通过使用一个证书管理平台(一个单一的窗格)来发现,部署,管理生命周期以及更新所有数字证书,可以为企业提供最佳服务。可见性是企业实现和增强四大支柱所需的关键能力。这样可以加快并简化证书管理以及各种证书类型,供应商,公共和私人证书以及需要在不同时间吊销和续签的生命周期的复杂性。可见性也是对信托政策和合规性审计进行健全公司治理的基础。
可见性概念贯穿于证书自动化的四个支柱中,从知道存在哪些证书到了解这些证书背后的PKI(公共密钥基础结构)。使用单一的玻璃可见性窗格,安全团队只需快速浏览即可吸收信息,例如密钥是否符合密钥长度和密码要求,以及是否存在基于不推荐使用的哈希算法的不合规证书。
证书管理的自动化程度越高,您的组织和所服务的组织就越富裕且更安全。证书的发现,部署,生命周期管理和续签自动化是企业从战术过渡到战略的方式。
注:本文由E安全编译报道,转载请注原文地址
https://www.easyaq.com
