Bedrijfsapplicaties en PKI – Deel 1

Het gebruik van PKI om kritieke bedrijfsapplicaties te beveiligen

In een eerder artikel hebben we gedefinieerd Publieke sleutelinfrastructuur (PKI) als een set van rollen, beleidsregels, hardware, software en procedures die nodig zijn om een ​​document te creëren, beheren, distribueren, gebruiken, opslaan en intrekken digitale certificaten en beheer de publieke sleutel encryptieWe hebben ook enkele trends in digitalisering geïdentificeerd die de adoptie van PKI stimuleren. Naarmate de adoptie van PKI toeneemt, moeten bedrijven begrijpen welke van hun applicaties "PKI-compatibel" moeten zijn. Met andere woorden, blauwdrukken van bedrijfsarchitectuur moeten duidelijk de applicatiescenario's identificeren die PKI moeten gebruiken, en ook niet-conforme scenario's markeren als potentiële beveiligingsrisico's. In dit artikel bekijken we enkele typische applicatiescenario's die PKI gebruiken om de onderneming te beschermen en haar risicoprofiel te verlagen.

1. Publieke websites en webapplicaties: Het hangslotsymbool in de URL-balk van elke webbrowser is nu een de facto vereiste voor elke openbare website en applicatie. Het hangslot staat voor SSL/TLS (Secure Sockets Layer / Transport Layer Security) Een versleutelde verbinding tussen de browser en de website wordt tot stand gebracht met behulp van een digitaal certificaat dat van de website of webapplicatieserver naar de browser wordt verzonden. Het certificaat bevestigt de identiteit van de website of webapplicatie aan de browser. Hoe weet de browser of het certificaat zelf geldig en authentiek is? Het controleert of het certificaat nog niet is verlopen en is uitgegeven en 'ondertekend' door een vertrouwde derde partij, een zogenaamde Certificate Authority (CA)Zodra het certificaat is geverifieerd, stuurt de browser zijn publieke sleutel naar de server, die deze gebruikt om de gegevens die naar de browser worden teruggestuurd te versleutelen. De browser ontsleutelt deze gegevens vervolgens met zijn privésleutel. Al deze magie gebeurt naadloos op de achtergrond, dankzij PKI.
2. VPN-diensten (Virtual Private Network): De behoefte om op afstand toegang te krijgen tot een bedrijfsnetwerk (bijvoorbeeld vanaf een andere kantoorlocatie of een partnerlocatie) bestaat al geruime tijd. De typische oplossing hiervoor is een leased line – een speciale fysieke lijn tussen de externe locatie en het bedrijfsnetwerk. Deze aanpak is echter niet haalbaar voor individuele thuiswerkers die toegang moeten hebben tot het bedrijfsnetwerk, zoals werknemers die thuis moeten werken. VPN-diensten, die een veilig, gecodeerd communicatiekanaal bieden voor toegang tot het bedrijfsnetwerk via internet, zijn dan ook enorm populair geworden.
   Wanneer een externe gebruiker via een VPN toegang krijgt tot het bedrijfsnetwerk, is één authenticatiemechanisme, bijvoorbeeld met een gebruikersnaam en wachtwoord, niet veilig genoeg. Multi-factorauthenticatie (MFA) is belangrijk, met een digitaal certificaat als een van de authenticatiemechanismen. Het VPN-kanaal (of de 'tunnel') wordt pas ingesteld nadat de certificaatvalidatie is voltooid, zoals eerder in dit artikel beschreven.
3. Mobiele applicaties: Nu elke werknemer minstens één mobiel apparaat bij zich heeft (en vaak meer dan één) en verspreide teams ("werken vanaf elke locatie") steeds gebruikelijker worden, neemt zakelijke mobiliteit toe. Platformen voor Mobile Device Management (MDM) voldoen aan een aantal vereisten van zakelijke mobiliteit door de mogelijkheid te bieden om apparaten te provisionen, mobiele applicaties te beheren en het beveiligingsbeleid van het bedrijf op het apparaat af te dwingen. Authenticatie van mobiele apparaten en gebruikers blijft echter een uitdaging. Een aanpak die uitsluitend gebaseerd is op gebruikersnaam en wachtwoord is simpelweg niet veilig genoeg en de beste manier om de identiteit van gebruikers te waarborgen. Validatie van mobiele apparaten en versleutelde communicatie tussen het apparaat en het bedrijfsnetwerk met behulp van digitale certificaten is een veel betere aanpak. Beide belangrijkste mobiele besturingssystemen van vandaag, namelijk iOS en Android, bieden native ondersteuning voor digitale certificaten.
4. Softwaretoepassingen:Code ondertekening: Bedrijven die software en de bijbehorende upgrades en patches moeten distribueren naar hun klanten, partners of werknemers, doen dat tegenwoordig meestal via internet.¹ Dit heeft echter nieuwe uitdagingen met zich meegebracht. Voorheen werd software die op fysieke media zoals cd's werd gedistribueerd, verpakt in krimpfolie, oftewel in een doos en fysiek verzegeld. Elke manipulatie van de verpakking en verzegeling hielp de gebruiker te waarschuwen. Maar hoe weet een gebruiker, wanneer de software via internet wordt verspreid, of de software die hij/zij downloadt daadwerkelijk van de auteur afkomstig is? Hoe weet de gebruiker dat er niet met de software is geknoeid en dat er geen schadelijke code of malware in is ingevoegd? Codeondertekening biedt het antwoord op deze vragen. Elk bedrijf dat software via internet wil distribueren, gebruikt een codeondertekeningscertificaat om de software digitaal te ondertekenen. Aan de clientzijde valideren de browser die wordt gebruikt voor het downloaden van de software en het besturingssysteem (OS) waarop de software wordt geïnstalleerd, het codeondertekeningscertificaat en verifiëren de authenticiteit ervan. Als er met de software is geknoeid, wordt de gebruiker onmiddellijk gewaarschuwd. Zonder codeondertekening kan de gebruiker, afhankelijk van de beveiligingsinstellingen van de browser, een waarschuwing krijgen of wordt de software helemaal niet gedownload. Als de gebruiker de waarschuwing negeert, de software downloadt en probeert te installeren, krijgt hij of zij opnieuw een waarschuwing, dit keer van het besturingssysteem, dat de uitgever van de software niet kon worden geverifieerd. Als gevolg van deze waarschuwingen kunnen gebruikers ervoor kiezen om de download of installatie van de software af te breken. Daarom is het belangrijk dat bedrijven de software die ze publiceren, ondertekenen. Dit zijn enkele scenario's voor bedrijfsapplicaties die PKI vereisen. Er zijn er nog een paar – deze worden behandeld in deel 2. Blijf op de hoogte!