Företagsapplikationer och PKI – Del 1

Använda PKI för att säkra kritiska företagsapplikationer

I en tidigare artikel definierade vi Infrastruktur för offentliga nycklar (PKI) som en uppsättning roller, policyer, hårdvara, programvara och procedurer som behövs för att skapa, hantera, distribuera, använda, lagra och återkalla digitala certifikat och hantera publik nyckel krypteringVi identifierade också några av de trender inom digitalisering som har drivit på införandet av PKI. I takt med att införandet av PKI ökar måste företag förstå vilka av deras applikationer som behöver vara "PKI-aktiverade". Med andra ord bör företagsarkitekturritningar tydligt identifiera de applikationsscenarier där PKI används, och även flagga icke-överensstämmande scenarier som potentiella säkerhetsrisker. I den här artikeln tittar vi på några av de typiska applikationsscenarier där PKI utnyttjas för att skydda företaget och sänka dess riskprofil.

1. Webbplatser och webbapplikationer som är öppna för allmänheten: Hänglåssymbolen i URL-fältet i alla webbläsare är nu ett de facto-krav för alla offentliga webbplatser och applikationer. Hänglåset representerar en SSL/TLS (Secure Sockets Layer/Transport Layer Security) krypterad anslutning mellan webbläsaren och webbplatsen som konfigureras med hjälp av ett digitalt certifikat som skickas från webbplats- eller webbapplikationsservern till webbläsaren. Certifikatet bekräftar webbplatsens eller webbapplikationens identitet till webbläsaren. Hur vet webbläsaren om själva certifikatet är giltigt och äkta? Det verifierar att certifikatet ännu inte har löpt ut och har utfärdats och "signerats" av en betrodd tredje part, en så kallad Certifikatmyndighet (CA)När certifikatet har verifierats skickar webbläsaren sin publika nyckel till servern, som använder denna för att kryptera data som skickas tillbaka till webbläsaren. Webbläsaren dekrypterar dessa data med sin privata nyckel. All denna magi sker sömlöst i bakgrunden, tack vare PKI.
2. VPN-tjänster (Virtuella privata nätverk): Behovet av att få tillgång till ett företagsnätverk på distans (till exempel från en annan kontorsplats eller en partnerplats) har funnits länge. Den typiska lösningen för detta behov är en hyrd linje – en dedikerad fysisk linje mellan fjärrplatsen och företagsnätverket. Hyrd linje är dock inte genomförbar för enskilda distansarbetare som behöver tillgång till företagsnätverket, till exempel anställda som behöver arbeta hemifrån. Det är här VPN-tjänster, med möjligheten att tillhandahålla en säker, krypterad kommunikationskanal för åtkomst till företagsnätverket via internet, har blivit extremt populära.
   När en fjärranvändare ansluter till företagets nätverk via ett VPN är en enda autentiseringsmekanism, till exempel med ett användarnamn och lösenord, inte tillräckligt säker. Flerfaktorsautentisering (MFA) är viktig – där en av autentiseringsmekanismerna är ett digitalt certifikat. VPN-kanalen (eller "tunneln") konfigureras först när certifikatvalideringen är klar, som beskrivits tidigare i den här artikeln.
3. Mobilapplikationer: Med varje medlem av arbetsstyrkan som bär minst en mobil enhet (och ofta mer än en) och distribuerade team ("arbeta var som helst") blir allt vanligare, ökar företagsmobilitet. Mobile Device Management (MDM)-plattformar tillgodoser några av kraven för företagsmobilitet genom att ge möjlighet att etablera enheter, hantera mobilapplikationer och tillämpa företagets säkerhetspolicy på enheten. Autentisering av mobila enheter och användare är dock fortfarande en utmaning. En metod som enbart baseras på användarnamn och lösenord är helt enkelt inte tillräckligt säker och det bästa sättet att säkerställa användaridentitet. Validering av mobila enheter och krypterad kommunikation mellan enheten och företagsnätverket, med hjälp av digitala certifikat, är en betydligt överlägsen metod. Båda de viktigaste mobila operativsystemen idag, dvs. iOS och Android, erbjuder inbyggt stöd för digitala certifikat.
4. Programvaruapplikationer:Kodsignering: Företag som behöver distribuera programvara och tillhörande uppgraderingar och patchar till sina kunder, partners eller anställda gör det vanligtvis idag via internet.¹ Detta har dock medfört nya utmaningar. Tidigare var programvara som distribuerades på fysiska medier, såsom cd-skivor, krympplastförpackad, dvs. förpackad i en låda, och fysiskt förseglad. All manipulering av förpackningen och förseglingen hjälpte till att varna användaren. Men när programvaran distribueras över internet, hur vet en användare om programvaran/programvarorna hen laddar ner kommer från den faktiska upphovsmannen? Hur vet användaren att programvaran inte har manipulerats och att någon skadlig kod eller skadlig kod har införts i den? Kodsignering ger svaret på dessa frågor. Alla företag som vill distribuera programvara över internet använder ett kodsigneringscertifikat för att signera programvaran digitalt. På klientsidan validerar webbläsaren som används för programnedladdningen och operativsystemet (OS) som programvaran installeras på kodsigneringscertifikatet och verifierar dess äkthet. Om programvaran har manipulerats varnas användaren omedelbart. Utan kodsignering kan användaren, beroende på webbläsarens säkerhetsinställningar, få en varning, eller så kanske programvaran inte laddas ner alls. Om användaren ignorerar varningen, laddar ner programvaran och försöker installera den, får hen ytterligare en varning, den här gången från operativsystemet, om att programvarans utgivare inte kunde verifieras. Till följd av dessa varningar kan användare välja att avbryta nedladdningen eller avbryta installationen av programvaran – vilket är anledningen till att det är viktigt för företag att se till att de signerar den programvara de publicerar. Här är några av de scenarier för företagsapplikationer som behöver använda PKI. Det finns några fler – dessa kommer att behandlas i del 2. Håll utkik!