Meteen naar de inhoud

Certificaten met een geldigheidsduur van 47 dagen komen eraan. Ben je klaar?

Handel nu →

  1. Blogs
    2. Case Study

Een succesverhaal over hoe we de beveiliging van een toonaangevende Amerikaanse zorginstelling hebben getransformeerd met onze PKI-beoordeling

Posted byAditi Doel 07 Minuten
Succesverhaalbanner
Inhoudsopgave

Bedrijfsoverzicht

We hebben zojuist een van de meest uitgebreide beoordeling van de openbare sleutelinfrastructuur Projecten met de toonaangevende zorginstelling in Minnesota, een leider in haar vakgebied, vormen de thuisbasis voor meer dan 7000 gepassioneerde professionals die zich inzetten voor het stellen van nieuwe normen voor apotheken en het ontwikkelen van behandelingen, met als doel het vinden van genezing voor ziekten. Tientallen jaren zijn verstreken en deze organisatie is uitgegroeid tot een voorbeeldige naam, die complexiteit vereenvoudigt en een uitzonderlijk platform voor apotheekdiensten aan huis levert aan miljoenen mensen in het hele land. Naarmate de organisatie groeide, kwamen er steeds meer uitdagingen bij, vooral op het gebied van het beheer van de Public Key Infrastructure (PKI).

Challenges

In de loop der jaren was hun PKI geëvolueerd zonder een gestructureerde aanpak voor de implementatie Certificeringsinstanties (CA) en het bijwerken van certificaatintrekkingslijsten. Dit ad-hocproces werd minder een beveiligingssysteem en meer een lappendeken, functioneel maar niet schaalbaar.

Handmatig beheer van de levenscyclusprocessen, zoals uitgifte, vernieuwingen herroeping Het beheren van duizenden certificaten was lastig voor de organisaties, wat de bedrijfsvoering vertraagde en het risico op serviceonderbrekingen vergrootte doordat de verlopen certificaten in het systeem bleven hangen. Het werd een klassiek geval van "wat je hier heeft gebracht, zal je in de toekomst niet meer brengen", en ze beseften dat het tijd was voor verandering.

Onze beveiligingsarchitect verwoordde het treffend: "De PKI-omgeving van de organisatie was geëvolueerd om te voldoen aan de onmiddellijke beveiligingsvereisten, maar zonder een strategie gericht op naleving of centraal toezicht bleven er kritieke hiaten achter die tot kostbare boetes konden leiden." Door deze hiaten bleven certificaatgerelateerde risico's onopgemerkt.

Bovendien waren er geen formele beleidsdocumenten zoals Certificate Policy (CP) of Certificate Practice Statement (CPS) om PKI-activiteiten te begeleiden. De privésleutels van root-CA's en uitgevende CA's werden lokaal opgeslagen in softwareoplossingen zonder sterke toegangscontrole.

In een hybride omgeving is consistentie moeilijk te bereiken. Met activiteiten zowel on-premises als cloud-gebaseerde platforms worstelde de organisatie met de uitdagingen van het beheren van constante cryptografische controles en beleidshandhaving met verschillende beveiligingsvereisten.

Een van de belangrijkste belanghebbenden deelde mee: "Elke keer dat we dachten dat we de controle over de beveiliging hadden, dook er een nieuwe blinde vlek op." Het gebrek aan zichtbaarheid en de operationele uitdagingen, zoals de afwezigheid van een regelmatig back-upproces voor de databases van certificeringsinstanties, stelden hen bloot aan Data Loss en certificaatdetectie vond nooit plaats, waardoor wildcard- en zelfondertekende certificaten onopgemerkt in hun omgeving bleven liggen, waardoor de kans op certificaatuitval toenam.

Zonder een bijgehouden inventaris van certificaten of een goed proces voor het ontdekken van certificaten, wildcards en zelfondertekende certificaten zouden verborgen blijven in de omgeving. Dergelijke certificaten creëerden blinde vlekken die leidden tot ongeautoriseerde toegang, gebrek aan verantwoording en mogelijk misbruik van ongebruikte certificaten.

De PKI-omgeving was bovendien niet flexibel genoeg om zich snel aan te passen aan toekomstige eisen, omdat deze was gebouwd met afhankelijkheid van één CA of een rigide CA-strategie. Hierdoor zat de organisatie uiteindelijk vast aan één leverancier. Hierdoor was het lastig om te reageren op opkomende beveiligingstrends, wijzigingen in de regelgeving of updates in cryptografische standaarden, zoals de overgang van het TLS 1.2-protocol naar het TLS 1.3-protocol.

Het resultaat

Na grondige evaluatie van verschillende PKI-beoordeling platforms, koos de organisatie onze gestructureerde en gefaseerde aanpak als de ideale oplossing voor hun dringende uitdagingen. Hiermee werd onze bewezen staat van dienst op het gebied van het leveren van op maat gemaakte, efficiënte en schaalbare beveiligings- en nalevingsdiensten erkend.

We hebben de mogelijkheden van de PKI-infrastructuur geëvalueerd om integraties met meerdere CA's te ondersteunen. Deze flexibiliteit zou de organisatie in staat stellen om te voldoen aan uiteenlopende use cases, van interne certificaten tot externe compliance-eisen, zonder gebonden te zijn aan één leverancier.

Nadat de projectomvang duidelijk was gedefinieerd, begonnen we met het beoordelen van hun bestaande beleid en standaarden, waaronder gegevensclassificatie, certificaten en sleutelbeheer. We kregen een duidelijk inzicht in hun operationele uitdagingen en beveiligingsvereisten, wat ons hielp bij het vaststellen van de use cases, waaronder:

  • Beveiliging van client- en servercommunicatie
  • Het inschakelen van principes voor toegangscontrole met minimale privileges
  • Gecentraliseerde en geautomatiseerde certificaten en sleutelbeheer
  • Het implementeren van sterke en conforme cryptografische controles en standaarden

We hebben workshops georganiseerd met geïdentificeerde stakeholders om hun bestaande PKI-omgeving te beoordelen. Dit omvatte een gedetailleerde gapanalyse om hun huidige PKI-status te beoordelen ten opzichte van de toekomstige PKI-status.

Uit de analyse kwamen verbeterpunten naar voren Beheer van de levenscyclus van certificaten proces, belangrijke managementpraktijken, certificaatbeleid en documentatie over certificaatpraktijken.

Deze evaluatie werd uitgevoerd met behulp van een aangepast PKI-raamwerk, ontworpen in overeenstemming met de beste praktijken en nalevingsnormen in de sector, zoals NIST 2.0 en FIPS 140-2 / 3.

Om hiaten en verbeterpunten te identificeren, diende het als referentiemodel voor het opstellen van een strategische routekaart voor een toekomstbestendige PKI-omgeving.

Nadat we de beoordeling hadden uitgevoerd, ontwikkelden we een strategie op maat, waarbij we prioriteit gaven aan naleving van regelgevende normen, zoals NIST SP 1800-16, het garanderen van sleutelgeneratie (bijvoorbeeld door een sleutelbitgrootte van 2048 of hoger te gebruiken) en het implementeren van principes van toegangscontrole met minimale bevoegdheden om ongeautoriseerde toegang te voorkomen.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Onze PKI-beoordelingsaanpak was gericht op het automatiseren van certificaat- en sleutellevenscyclusbeheerprocessen, het verminderen van de handmatige werklast en het minimaliseren van het risico op certificaatuitval. Geautomatiseerde waarschuwingen voor het verlopen van certificaten helpen bijvoorbeeld om belanghebbenden in realtime te informeren, wat zorgt voor proactieve en geautomatiseerde verlengingen.

Daarnaast hebben we een geautomatiseerd back-upproces voor CA-databases aanbevolen om gegevensherstel te garanderen en zo een beter inzicht te bieden. gestandaardiseerde PKI-beleidsregels voor consistent certificaatbeheer met als doel het geleidelijk afschaffen van risicovolle, zelfondertekende en onbeheerde wildcardcertificaten.

Onze gapanalyse benadrukte ook het belang van het centraliseren van certificaatinventarisatie om certificaten in on-premises en cloudomgevingen te volgen en te monitoren. Het doel van onze senior manager was om een ​​centraal overzicht te creëren, waarmee de certificaatstatus, het eigenaarschap en de afhankelijkheden gevolgd en gemonitord kunnen worden. Dit zou blinde vlekken aanpakken en de verantwoordingsplicht verbeteren.

Impact

Gedurende het project hebben we prioriteit gegeven aan het identificeren van de hoofdoorzaak van hun beveiligingsuitdagingen en het overbruggen van de kloof tussen hun huidige PKI-omgeving en hun beveiligingsdoelen op de lange termijn. Onze aanpak was gericht op het leveren van een strategie en een gedetailleerd herstelplan of aanbevelingen om de beveiliging te automatiseren. CLM processen en integreer de beste werkwijzen in de dagelijkse werkzaamheden.

De organisatie realiseerde een aanzienlijke verbetering in de beveiliging door het automatiseren van de certificaatcyclus, van uitgifte tot verlenging en sleutelbeheer, waardoor de afhankelijkheid van handmatige tussenkomst werd geminimaliseerd. Een opvallend resultaat was hun vermogen om certificaatverlengingen actief te beheren en serviceonderbrekingen als gevolg van verlopen certificaten te voorkomen.

De organisatie realiseerde een continue bedrijfsvoering zonder serviceonderbrekingen dankzij geautomatiseerde waarschuwingen en een certificaatvernieuwingsproces.

Bovendien werden de privésleutels van de root- en uitgevende CA veilig opgeslagen en beheerd met behulp van de Hardwarebeveiligingsmodule (HSM)Er werden strenge toegangscontroles gewaarborgd, met duidelijk gedefinieerde moraal en verantwoordelijkheden binnen de organisatie om vertrouwen in de certificaatverwerking te waarborgen.

Naar aanleiding van onze beoordeling heeft de organisatie een wachtwoordloze aanpak aangenomen om de beveiliging te versterken en gebruikersauthenticatie te vereenvoudigen. Certificaten werden geïmplementeerd op alle eindpunten, waaronder laptops, mobiele telefoons, interne webservers en IoT-apparaten.

De organisatie heeft gestandaardiseerde en gecentraliseerde processen opgezet voor het beheer van haar PKI. Dit omvatte het beheer van hoe certificaatondertekeningsverzoeken werden gegenereerd, goedkeuringen werden verwerkt en certificaten werden gevolgd en bewaakt in de certificaatinventaris.

De organisatie richtte zich op het creëren van een gecentraliseerd certificaatbeheersysteem waarmee het team kan controleren welke certificaten actief zijn, wie de eigenaar ervan is en welke certificaten onmiddellijke aandacht vereisen.

Door de naderende vervaldata in de gaten te houden, voorkomt de organisatie onverwachte problemen, zoals serviceonderbrekingen.

Conclusie

Waar digitaal vertrouwen de basis vormt van elke organisatie, is effectief PKI-beheer niet alleen een kwestie van soepel laten verlopen, maar ook een strategische noodzaak. Onze uitgebreide PKI-beoordeling stelde de zorgsector in staat de overstap te maken van een gefragmenteerde PKI naar een veilige en schaalbare PKI.

De overgang van de organisatie naar gestandaardiseerde PKI De omgeving heeft de zichtbaarheid in hun PKI verbeterd, waardoor ze aankomende certificaatverlopen kunnen aanpakken en kostbare uitval kunnen voorkomen. Deze aanpak laat zien hoe een eenvoudig, goed gepland systeem een ​​groot verschil kan maken en vertrouwen en veiligheid voor de komende jaren kan garanderen.

In de toekomst wil de organisatie deze mogelijkheden uitbreiden door de implementatie en het beheer van certificaten te automatiseren, PKI te integreren met bestaande systemen voor identiteits- en toegangsbeheer en PKI te benutten voor opkomende use cases, zoals de beveiliging van IoT-apparaten.

Ontdek het hier

Meer onderwerpen