För de flesta människor är termen 'krypteringgår hand i hand med PKI, och med rätta. PKI, eller mer allmänt, SSL / TLS Certifikat och nycklar har använts i över två decennier och säkrar kommunikationskanaler genom att tillhandahålla end-to-end-kryptering av data under överföring. Företag har vanligtvis använt x.509-certifikat i hela sin IT-infrastruktur för att skydda information som tillhör dem, och ännu viktigare, deras kunder. Faktum kvarstår att värdet av ett robust, läckagesäkert PKI-system inte kan underskattas. Historien har trots allt visat att ett enda certifikat som går offline bokstavligen kan kosta ett företag. miljoner dollar.
Tillbaka till nutiden – fenomenet digital transformation blomstrar för fullt, och manuella processer automatiseras kontinuerligt över hela linjen. Det innebär att fler enheter och virtuella tjänster läggs till i nätverk – det här är slutpunkter som måste skyddas genom att certifikat installeras på dem. Ännu viktigare är att x.509-certifikat inte är en lösning man bara kan montera och glömma. När ett certifikat har installerats på, säg, en server måste det kontinuerligt övervakas för problem, förnyas när giltighetstiden löper ut och ersättas med ett nytt. Här är en snabb översikt över de aktiviteter en PKI-expert kan behöva utföra när de hanterar... livscykeln för ett certifikat.
Som det framgår är det inte enkelt att hantera certifikat med manuella processer. Flera team följer en manuell, ärendebaserad metod för att certifikathantering, som arbetar ad hoc. Även om det uppenbara problemet med manuell hantering är att hanteringen av tusentals certifikat kan vara oerhört felbenägen, opålitlig och tidskrävande, finns det också några dolda nackdelar:
Ineffektiva policy- och revisionsmekanismer: Brist på detaljerad kontroll över vem som ändrar eller genererar certifikat/nycklar möjliggör inte tillförlitlig granskningsspårning eller homogen policytillämpning i hela nätverket.
Molnig sikt: Byggande på den tidigare smärtpunkten begränsar isolerade processer allvarligt insynen i förtroendestrukturer, vilket kan leda till att alltför många certifikat förblir odokumenterade. Detta gör det smärtsamt att hitta och underhålla ett certifikat för att förhindra att det oväntat löper ut.
Osäker lagring av privata nycklar: Att förvara privata nycklar på osäkra platser (vanliga textdokument, till skillnad från HSM(till exempel) öppnar upp ett företag för möjligheter till datastöld eller dataintrång genom man-in-the-middle-attacker. Den mänskliga faktorn som är involverad i manuell hantering är också en ständig riskfaktor.
Dessa nackdelar kringgås vanligtvis genom att implementera strukturerade certifikathanteringsprocesser från dag ett, och genom att säkerställa att alla driftsteam har god insyn och kontroll över sina PKI. Automatisera de manuella processerna för att eliminera felmarginalen, så har du en idiotsäker säkerhetsinfrastruktur för att hantera dina krypteringsbehov.
Och för att göra det gör du klokt i att följa några branschstandardiserade bästa praxis. De officiella metoderna beskrivs i den NCCoE-publicerade guiden om NIST-rekommendationerna för TLS-certifikathantering. Men om du vill ha en snabb, detaljerad sammanfattning av de principer som i praktiken ska följas vid hantering av TLS-certifikat, här är våra 5 bästa metoder för hantering av certifikatlivscykeln, utan inbördes ordning:
- Få synlighet
Se till att du alltid har koll på alla certifikat i ditt lager. Detta innebär att du regelbundet skannar nätverket för att identifiera CA-utfärdade certifikat och mappar dem till de slutpunkter de är installerade på. Även om detta också förenklar framtida certifikatdrift avsevärt, hjälper det också administratörer att rensa bort överblivna, utgångna eller på annat sätt osäkra certifikat.
Helst bör subnätsskanningar utföras på lokaliserade certifikat och värdnamn. Man måste noga utföra välkontrollerade skanningar genom att batcha upp subnätslistan och implementera kylningsperioder mellan skanningarna för att undvika nätverksbelastning. Tips: Schemalägg skanningar över natten eller under perioder med låg nätverkstrafik för bästa resultat!
- Underhålla inventering
Det slutar inte med skanning! Man måste vara noga med att säkerställa att resultaten av skanningen lagras eller uppdateras i ert befintliga lager. Kategorisering av upptäckta certifikat spelar en viktig roll för att förenkla verksamheten. Ni kan till exempel välja att gruppera certifikat baserat på om de används i test- eller produktionsmiljöer.
Du kan också vilja gruppera dem baserat på ägarhierarki för att förenkla spårning och eskalering av varningar. Slutligen är det absolut nödvändigt att säkerställa att policyn implementeras enhetligt i alla grupper, men vi återkommer till det.
- Genomför policy
Även om organisationspolicyer redan kan finnas på plats, enligt NIST, behöver du ett sätt att upprätthålla policyer via automatisering. Du kan till exempel välja att definiera förnyelsemekanismer för certifikat som automatiskt förnyas när de har passerat 80 % av sin giltighetstid. Sådana regeldefinitionsfunktioner för policyupprätthållande gör att du snabbt kan återhämta dig från potentiella katastrofer.
För ex: Om du har avtal med reserv-CA:er och mekanismer för att automatiskt implementera ett bulkersättningspaket, säkrar du dig mot riskfaktorn för en CA-kompromiss.
- Skydda privata nycklar
Oavsett vilken metod som används för att lagra privata nycklar (HSM:er, programvaruvalv, nyckellager eller till och med filer), bör din främsta prioritet ligga i att ta bort den mänskliga faktorn från nyckelhantering övning. När du förhindrar att individer har direktåtkomst till privata nycklar eliminerar du risken för stöld och gör det enklare att spåra potentiella komprometteringar. Detta tillstånd av automatiserad nyckelorkestrering uppnås genom att utnyttja automatiserade arbetsflöden för att skicka certifikat och deras nycklar till nätverksslutpunkter. Och när nyckelåtkomst är absolut nödvändig måste en rollbaserad, privilegierad metod följas.
Med det sagt har ytterligare säkerhetslager aldrig skadat någon. Instruera dina team att medvetet kryptera nycklar i vila och skydda kritisk data med hjälp av instrument som följer FIPS 140-2-standarden.
- Aktivera övervakning från början till slut
Trots att PKI-infrastrukturer har en helt automatiserad certifikathanteringsprocess måste de ständigt övervakas för att upptäcka svaga länkar. Det du behöver är ett system som kopplar samman alla aspekter av dina certifikat över flera CA:er och programvara för nätverkssäkerhet/automation. Instrumentpaneler som spårar utgångsdatum och redundans är otroligt praktiska, liksom meddelanden som skickas till certifikatägare före utgångsdatum.
Ett annat sätt att fördjupa sig i övervaknings-/underhållscykeln är att schemalägga rapporter om statusen för certifikatgrupper som endast når deras ägare. Detta tjänar syftet att hålla teamen informerade om status och eliminera brus.
Som säkerhetsintressent eller medlem i ett Sec/Net/DevOps-team som hanterar TLS-certifikat och nycklar, ligger det i ditt bästa intresse att se till att din organisation följer dessa riktlinjer, om du inte redan har gjort det. Som man brukar säga, bättre att vara på den säkra sidan – varje enskilt certifikat kan vara den där svaga länken i en annars solid säkerhetsuppsättning. Att förhindra certifikatavbrott är mycket enklare än att hantera dem efteråt. Lycka till!
Om du behöver hjälp med att konfigurera och hantera din PKI är du välkommen att kontakta oss på www.krypteringskonsulting.comoch för att lära dig mer om att implementera fullfjädrade, skalbara automatiseringssystem för certifikatlivscykeln i din organisation, besök appviewx.com.
