Waar u op moet letten bij een geautomatiseerde certificaatlevenscyclusoplossing 

Beheer van een Public Key Infrastructure, of PKI, was, toen het voor het eerst werd ontwikkeld en gebruikt, een tijdrovend en moeilijk proces. De reden hiervoor was dat alle processen die betrokken waren bij het onderhouden van de certificaatlevenscyclus handmatig moesten worden afgehandeld. Teams van PKI-beheerders moesten alle certificaten in hun organisatie opsporen, ze allemaal in een spreadsheet vermelden en handmatig onthouden wanneer en welke certificaten op het juiste moment verlengd moesten worden.

Dit kan leiden tot verstoring van de dienstverlening als de verlengingsdatum van een belangrijk certificaat niet wordt gehaald of vergeten, waardoor kritieke diensten uitvallen omdat ze geen geldig certificaat hebben. Hoewel dit de enige praktijk was toen PKI voor het eerst werd geïntroduceerd, stappen steeds meer bedrijven over op het automatiseren van taken in de levenscyclus van certificaten.

Met handleiding certificaatbeheerDe certificatenbeheerders moesten de certificaten en hun verlengingsdata handmatig in spreadsheets invoeren om ze bij te houden. Gelukkig zijn er in de loop der tijd tools ontwikkeld om dit proces te automatiseren, waardoor het automatiseringsproces veel eenvoudiger is geworden. Maar waarom zouden organisaties zo graag hun certificaatlevenscyclusbeheer willen automatiseren? 

Waarom is geautomatiseerd certificaatbeheer zo belangrijk? 

Zoals ik al eerder aangaf, is het handmatig beheren van certificaten een extreem tijdrovend proces, met een grote kans op menselijke fouten, waardoor kritieke services mogelijk uitvallen. Het automatiseren van certificaatbeheer is ook essentieel vanwege de verkorting van de geldigheidsduur van certificaten. Een paar jaar geleden waren certificaten meestal vijf jaar geldig, maar in 2020 werd de maximale geldigheidsduur van certificaten verlaagd naar twee jaar, en nu is er een discussie om die maximale geldigheidsduur te verkorten tot 90 dagen.

Bij kortere geldigheidsperioden, handmatige Beheer van de levenscyclus van certificaten wordt nog gevoeliger voor menselijke fouten, omdat er meer ruimte is voor fouten en er minder tijd is om bij te houden. Een onderdeel van dit automatiseringsproces is het volledig begrijpen van de levenscyclus van certificaten. De levenscyclus van certificaten begint met de ontdekking van certificaten in een organisatie.

Het detectieproces omvat het doorzoeken van de organisatie naar certificaten die in gebruik zijn, waarbij de vervaldatum en de details van het certificaat zelf worden genoteerd. Deze stap is essentieel om de status van certificaten te behouden en ervoor te zorgen dat het certificaat tijdig wordt verlengd om verstoring van de dienstverlening te voorkomen. De volgende stap in de levenscyclus van een certificaat is de uitgifte van een certificaat. Zonder de initiële uitgifte van een certificaat is de rest van het proces irrelevant. Een certificaat wordt uitgegeven door een onderdeel van een PKI een zogenaamde certificeringsinstantie.

A Certificate Authority, of CA, kan deel uitmaken van een interne PKI en alleen binnen de organisatie worden gebruikt, of het kan een externe PKI zijn die is gemaakt en wordt beheerd door een bekende en vertrouwde organisatie. De uitgifte van het certificaat wordt pas voltooid nadat aan bepaalde controles voor de certificaataanvrager is voldaan. Meestal houdt dit in dat de aanvrager lid is van de organisatie en geautoriseerd is om een ​​certificaat te ontvangen. Na de uitgifte volgt de installatie van het certificaat.

De installatiestap omvat de installatie van het certificaat op een gemakkelijk toegankelijke en veilige locatie, zodat het certificaat zelf, indien nodig, kan worden gebruikt, maar niet zomaar iedereen met toegang tot de computer het certificaat kan stelen en misbruiken. De volgende fase is de opslag van het certificaat. Installatie en opslag gaan hand in hand, aangezien het veilig opslaan van het certificaat onderdeel is van het installatieproces.

Opslag is van cruciaal belang voor een certificaat, omdat een kwaadwillende actor toegang kan krijgen tot een onveilig opgeslagen certificaat en zichzelf als slachtoffer kan identificeren. Met een valse identiteit en toegang tot wat het slachtoffer kan, kan een aanvaller een organisatie bestelen of nog grotere schade aanrichten. malware Onder het mom van een vertrouwde medewerker. Monitoring is de volgende stap in de levenscyclus en een van de belangrijkste stappen.

Het bijhouden van de vervaldatums van certificaten en het up-to-date houden ervan is een continu proces dat te allen tijde moet worden voortgezet. Het missen van de vervaldatum van één certificaat kan leiden tot een grote verstoring van de dienstverlening, waarbij bepaalde diensten uitvallen omdat ze geen geldig certificaat hebben. De laatste drie stappen in de levenscyclus van een certificaat kunnen in één keer worden besproken, omdat het vergelijkbare maar afzonderlijke stappen zijn: verlenging, intrekking en vervanging.

Vernieuwing is het proces van het verlengen van een certificaat dat is verlopen of, vaker, het verlengen van een certificaat dat op het punt staat te verlopen. Het is beter om een certificaat vernieuwen vóór de vervaldatum, omdat het laten verlopen van het certificaat en het vervolgens vernieuwen ervan ertoe leidt dat de services die een certificaat nodig hebben om te functioneren, worden afgesloten.

herroeping Dit gebeurt alleen wanneer een certificaat door een aanvaller is gecompromitteerd, of als het apparaat of de persoon die het certificaat uitgeeft de organisatie heeft verlaten. Als een aanvaller een certificaat heeft gecompromitteerd, het intrekken van het certificaat voorkomt dat er misbruik van wordt gemaakt. En als een werknemer de organisatie heeft verlaten, werkt het intrekken van het certificaat op dezelfde manier.

Vervanging Het gebruik van een certificaat is doorgaans de minst voorkomende fase in de levenscyclus van een certificaat. Als een organisatie overstapt van een externe PKI naar een interne PKI, worden alle certificaten binnen de organisatie vervangen door nieuwe certificaten van de interne PKI. Omdat dit een ingewikkeld en tijdrovend proces is, is het voor organisaties vaak eenvoudiger om gewoon dezelfde externe PKI onbeperkt te blijven gebruiken.

Belangrijke mogelijkheden van een certificaatlevenscyclusoplossing

Nu we de certificaatlevenscyclus als geheel beter begrijpen, laten we eens kijken wat een certificaatlevenscyclusoplossing doet. Het simpele antwoord is dat een certificaatlevenscyclusoplossing, of CLS, de dagelijkse en langetermijnactiviteiten automatiseert die betrokken zijn bij het onderhouden van een certificaatlevenscyclus. stap van de certificaatlevenscyclus is voorzien van een krachtige CLS, zodat u certificaten nooit meer handmatig hoeft te beheren.  

Een voorbeeld van een proces dat een CLS kan verzorgen, is de automatische detectie en catalogisering van alle certificaten binnen een organisatie. Integratie met tools zoals Nessus stelt een CLS in staat om alle certificaten binnen een organisatie te vinden en te beheren, waarbij de CLS de intrekking, verlenging en vervanging van certificaten afhandelt wanneer dat nodig is. Er zijn een aantal kernfunctionaliteiten of mogelijkheden die een CLS zou moeten hebben als u overweegt er een te gebruiken.

1. Integratie met externe applicaties van een organisatie

   Als een CLS niet eenvoudig kan worden geïntegreerd met externe applicaties of systemen die binnen uw organisatie worden gebruikt en waarvoor certificaten nodig zijn, dan is die CLS waarschijnlijk niet geschikt voor u. Uw bedrijf moet erop kunnen vertrouwen dat alles wat een certificaat gebruikt, correct wordt bewaakt en dat de CLS te allen tijde betrokken is.

2. Gecentraliseerd sleutelbeheer

   Een CLS biedt ook het extra voordeel van centralisatie sleutelbeheerMet een CLS worden alle sleutels veilig op één locatie opgeslagen, waardoor er één centrale locatie is voor alle certificaatsleutels in de organisatie.

3. Geautomatiseerde processen voor elke stap in de certificaatlevenscyclus

   Zoals de functie al aangeeft, moet een CLS geautomatiseerde processen hebben voor elke stap in de certificaatlevenscyclus om als nuttig te worden beschouwd. Dit geldt voor elke stap in de levenscyclus. Wanneer u de functies van een CLS bekijkt, moet u er dus voor zorgen dat er een geautomatiseerde functie is voor elke fase van de certificaatlevenscyclus.

4. Hoge beschikbaarheid

   Elke CLS moet direct beschikbaar zijn indien geïntegreerd in de systemen van uw organisatie. Hoge beschikbaarheid in een CLS betekent dat het platform te allen tijde kan worden gebruikt op elke locatie waar uw organisatie zich bevindt. Er moeten back-upservers of Hardwarebeveiligingsmodules voor het geval er eentje uitvalt, en over het algemeen moet er makkelijk toegang zijn tot het gereedschap.

5. Mogelijkheid om eenvoudig te auditen

   Een ander belangrijk aspect van een CLS om op te letten, is de ingebouwde rapportagefunctie. Deze rapportagefunctie moet certificaten en sleutels bijhouden, wanneer ze worden gebruikt en door wie ze worden gebruikt. Dit maakt het gemakkelijker als uw organisatie in de loop der jaren een auditproces moet doorlopen.

6. Alarmering

   Tot slot moet er ook een waarschuwingsfunctie zijn. Dit betekent dat belangrijke certificaten die in gebruik zijn, een waarschuwing sturen wanneer ze zijn gebruikt. Daarnaast moet er een waarschuwing worden verzonden wanneer een certificaat bijna verloopt en wanneer het is verlengd.

Conclusie   

Oplossingen voor de levenscyclus van certificaten zijn de toekomst van PKI-beheer, omdat ze het proces van handmatige certificaatregistratie overbodig maken. De snelheid en efficiëntie die een CLS een organisatie biedt, zijn ongeëvenaard.