PKI-fundamenten – De moderne PKI kennen

Public Key Infrastructures (PKI's) Zijn nodig om de identiteit van verschillende personen, apparaten en diensten te verifiëren. Kortom, PKI's gaan veel verder dan alleen gebruikers-ID's en wachtwoorden. Ze maken gebruik van cryptografische technologieën zoals digitale handtekeningen en digitale certificaten om unieke inloggegevens te creëren die zonder enige twijfel en op grote schaal gevalideerd kunnen worden.
Voordat we dieper ingaan op de vraag naar moderne PKI, moeten we het volgende begrijpen:

Wat is PKI?

PKI staat voor Public Key Infrastructure. Public Key Infrastructure is een oplossing waarbij, in plaats van een e-mailadres en wachtwoord voor authenticatie, certificaten worden gebruikt. PKI versleutelt ook communicatie, met behulp van asymmetrische encryptie, die gebruikmaakt van publieke en private sleutels. PKI beheert certificaten en sleutels en creëert een uiterst veilige omgeving die ook door gebruikers, applicaties en andere apparaten kan worden gebruikt. PKI maakt gebruik van X.509-certificaten en publieke sleutels, waarbij de sleutel wordt gebruikt voor end-to-end versleutelde communicatie, zodat beide partijen vertrouwen in elkaar opbouwen en hun authenticiteit kunnen testen.

Private en publieke PKI

Organisaties die een Public Key Infrastructure (PKI)-plan willen opstellen, worden vaak geconfronteerd met de keuze tussen een publieke en een private PKI.
Tegenwoordig hanteren de meeste organisaties een hybride aanpak, waarbij ze een mix van digitale certificaten van zowel publieke als private certificeringsinstanties gebruiken. Hierdoor is het veel lastiger geworden om te weten hoeveel certificaten u hebt, waar ze zich bevinden en of ze voldoen aan de vereisten. Hoewel het volgen van best practices verplicht is bij de implementatie van een oplossing, is het vrijwel onmogelijk wanneer u te druk bezig bent met het achtervolgen van applicatie-eigenaren om certificaten te verlengen of te herstellen van de laatste storing.

Vroeger moest het IT-team van een organisatie bij elkaar zitten en de CA hiërarchie (twee- of drielaags hiërarchie) van hun PKI-infrastructuur. In de moderne wereld, met zoveel succesvol geïmplementeerde en beheerde PKI's, is het gemakkelijker geworden om te begrijpen welke hiërarchie voor een organisatie het meest geschikt is, gebaseerd op hun zakelijke behoeften. Tegenwoordig zijn de meeste PKI-implementaties tweelaags. De drielaagse architectuur komt alleen in beeld wanneer er specifieke technische/industriële vereisten van de organisatie zijn. Tegenwoordig is het, volgens de standaardpraktijk, ook belangrijk om HSM's te implementeren om privésleutels op te slaan en CA's te beschermen, aangezien aanvallers de waarde hebben ingezien van het gebruik van privésleutels om bedrijfsnetwerken te hacken.

In dit artikel bespreken we de moderne eisen die aan PKI worden gesteld, bijvoorbeeld of uw PKI aan al uw behoeften voldoet, waar u het voor gebruikt, etc.

Moderniseer uw PKI

PKI is een van de meest cruciale beveiligingstools voor een organisatie. Naarmate het aantal use cases blijft toenemen, is het belangrijk dat de organisatie de juiste expertise in huis heeft om de PKI veilig te laten werken.
Encryption Consulting beschikt over de juiste expertise en helpt klanten bij de implementatie of migratie van traditionele PKI naar een volledig beheerde PKI of naar een uiterst schaalbaar PKI-as-a-Service-platform in de cloud.

Een nieuwe cloudgebaseerde benadering van PKI

Encryptieconsultancy helpt bij het bouwen en beheren van PKI-infrastructuur in de cloud, conform de zakelijke vereisten van de klant. Bij een tweelaags PKI-model is de root-CA offline en wordt deze on-premises bewaard, terwijl de uitgevende CA zich in de cloud bevindt. In de hieronder beschreven aanpak is de root-CA offline en wordt deze on-premises bewaard. Er zijn ook twee uitgevende CA's geïmplementeerd, waarvan er één on-premises is en de andere in de cloud. De on-premises CA richt zich op beveiliging van niet-cloudresources (zoals authenticatie van werkstations, enz.) en de andere uitgevende CA op cloudresources. Sleutels worden beveiligd in HSM's.

In tegenstelling tot on-premises tegenhangers zijn cloudgebaseerde PKI's extern gehoste PKI-diensten die PKI-functionaliteit op aanvraag leveren. De cloudgebaseerde aanpak vermindert de belasting voor individuele organisaties drastisch – financieel, qua middelen en qua tijd – doordat organisaties geen interne infrastructuur hoeven op te zetten. De serviceprovider verzorgt al het doorlopende onderhoud van de PKI en garandeert tegelijkertijd schaalbaarheid en beschikbaarheid – wat zorgt voor een probleemloze en efficiënte service.
Schaalbaarheid om te voldoen aan de groeiende behoeften van de organisatie is een ander voordeel. De serviceprovider verzorgt alle aanvullende vereisten – installatie van software, hardware, back-up, noodherstel en andere infrastructuur – die anders een last zouden worden voor eigenaren van on-premises PKI-oplossingen.

www.encryptionconsulting.com/cloud-gebaseerde-openbare-sleutel-infrastructuur-architectuur/

De voordelen van PKI-as-a-Service

1. Vermindert kosten en complexiteit

   Een snellere implementatie van uw PKI-infrastructuur, minder problemen binnen enkele uren, lagere uitgaven voor interne PKI en periodieke PKI-beoordelingen en trainingen worden allemaal aangeboden met PKI-as-a-Service.

   Verbeter de beveiliging met een betrouwbare, privé-PKI die is geïmplementeerd volgens de beste praktijken in de sector.
2. Toegewijde beveiligingsexpert

   Er worden beveiligingsexperts aan de dienst toegewezen die consistente en flexibele ondersteuning bieden om aan de eisen en wensen van de klant te voldoen.

   Een toegewijde beveiligingsexpert zorgt er bovendien voor dat u minder tijd en frustratie kwijt bent aan PKI-gerelateerde taken, zoals CA- en CRL-onderhoud.
3. Schaalbaarheid en flexibiliteit

   Biedt observaties en aanbevelingen met betrekking tot huidige en toekomstige initiatieven om de gewenste toekomstige capaciteiten te helpen verwezenlijken.

   Integreer uw PKI met apparaten en applicaties met behulp van REST API's, plug-inintegraties en standaardinschrijvingsprotocollen.

Aanvullende diensten

Encryption Consulting kan ook verdere diensten aanbieden gerelateerd aan de Root CA, zoals:

• Ondertekening door sub-CA
• Advies over het beheer van de levenscyclus van root-CA- en sub-CA-certificaten (bijv. hash-algoritmen/cryptografische algoritmen)
• Beleids-/certificaatprofieladvies
• Wortelonderhoud
  • Rootmigratie / rollover

Beheerde PKI van Encryption Consulting

Encryption Consulting LLC (EC) verzorgt de volledige ontzorging van de Public Key Infrastructure-omgeving. Dit betekent dat EC de PKI-infrastructuur opzet en de PKI-omgeving (on-premises, PKI in de cloud, hybride PKI-infrastructuur in de cloud) van uw organisatie beheert.

Encryption Consulting implementeert en ondersteunt uw PKI met behulp van een volledig ontwikkelde en geteste set procedures en gecontroleerde processen. Beheerdersrechten voor uw Active Directory zijn niet vereist en u behoudt altijd de controle over uw PKI en de bijbehorende bedrijfsprocessen. Bovendien worden de CA-sleutels om veiligheidsredenen bewaard in FIPS140-2 Level 3 HSM's worden gehost in uw beveiligde datacenter of in ons Encryption Consulting-datacenter in Dallas, Texas.

Conclusie

Met PKI-as-a-Service (ook wel managed PKI) van Encryption Consulting profiteert u van alle voordelen van een goed beheerde PKI, zonder de operationele complexiteit en kosten van de software en hardware die nodig zijn om alles draaiende te houden. Uw teams behouden nog steeds de controle die ze nodig hebben over de dagelijkse gang van zaken, terwijl ze back-end taken uitbesteden aan een vertrouwd team van PKI-experts.