Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Cloud Key Management

Molnbaserad PKI – GCP, AWS och Azure

Postat avParnashree Saha 7 minuter
Public Key Infrastructure (PKI) handlar främst om att hantera säkra digitala identiteter som möjliggör sätt att skydda data och känna till subjektets (ett subjekt kan vara vad som helst, till exempel en dator, en person, en router eller en tjänst) identitet när information delas över opålitliga nätverk. PKI är avgörande för de flesta företag och deras applikationer idag.
Innehållsförteckning

Public Key Infrastructure (PKI) handlar främst om att hantera säkra digitala identiteter som möjliggör sätt att skydda data och känna till subjektets (ett subjekt kan vara vad som helst, till exempel en dator, en person, en router eller en tjänst) identitet när information delas över opålitliga nätverk. PKI är avgörande för de flesta företag och deras applikationer idag.

I takt med att införandet av olika former av molnmodeller (dvs. offentliga, privata och hybrida) inom flera branscher ökar, når molnmodet en ny höjdpunkt. Kunderna har dock fortfarande oro över säkerhetsområden och ställer en vanlig fråga:
”Hur kan jag lita på molnet?” Det enklaste svaret på den här frågan är att ”bygga förtroende kring molnet”, men hur? Vi ska diskutera några fantastiska PKI-koncept som, om de planeras och implementeras korrekt, kan vara en bra lösning.
för att bygga kundernas förtroende för ett moln. Innan vi diskuterar molnbaserade PKI-arkitekturmodeller i detalj, låt oss uppdatera några grunder.

Vad är infrastruktur för offentliga nyckelr (PKI)?

Public Key Infrastructure kombinerar olika tekniska komponenter för att autentisera användare och enheter inom ett digitalt ekosystem. En PKI:s primära mål är konfidentialitet och autentisering, dvs. möjliggöra mycket privata konversationer över alla
plattform samtidigt som individuella identiteter hålls tillgängliga för autentisering. Kryptosystem använder matematiska funktioner eller program/protokoll för att kryptera och dekryptera meddelanden. Varje säkerhetsprocess, lager eller programvara måste implementera och täcka CIA-triaden.

  • SekretessDet hänvisar till processen för att säkerställa att information som skickas mellan två parter är konfidentiell endast mellan dem och inte ses eller lämnas ut av/till någon annan.
  • IntegritetDet hänvisar till processen för att säkerställa att meddelandet under överföring bibehåller sin integritet, dvs. meddelandets innehåll får inte ändras. Integreringen av data säkras genom hashning.
  • TillgänglighetTillgänglighet är den sista komponenten i CIA-triaden och hänvisar till den faktiska tillgängligheten för dina data. Autentiseringsmekanismer, åtkomstkanaler och system måste alla fungera korrekt för den information de skyddar och säkerställa att den är tillgänglig när den behövs.

Tillsammans med dessa finns det några viktiga parametrar som beskrivs nedan:

  • AutentiseringProcessen att bekräfta någons identitet med angivna parametrar som användarnamn och lösenord. PKI erbjuder detta genom digitala certifikat.
  • TillståndProcessen att bevilja åtkomst till en resurs till den bekräftade identiteten baserat på deras behörigheter.
  • Icke förnekandeEn process för att säkerställa att endast den avsedda slutpunkten har skickat meddelandet och senare inte kan förneka det. PKI erbjuder oavvisande genom digital signatur.

Utmaningar vid införande av en molnbaserad PKI-modell

Det finns olika utmaningar inom PKI beroende på bransch- och affärstrender. Här kommer vi att diskutera några av de vanligaste utmaningarna.

  • Bristande förståelse för PKI-koncept och designaspekter. Även uppfyllandet av efterlevnadskrav som t.ex. NIST-800-57 (ger rekommendationer för kryptografisk nyckelhantering) efter utplaceringen är viktig.
  • Att ignorera vikten av HSM . När användningen av HSM:er ignoreras, var medveten om att din PKI inte kommer att vara FIPS-140 nivå 3-kompatibel.
  • Att känna till och förstå molnleverantörer (AWS, Azure, GCP etc.) Vilken molnleverantör som kan uppfylla alla krav, enligt dina affärsbehov, är något som måste tas om hand.
  • Integration med er befintliga PKI-infrastruktur. Att välja rätt modell för din organisation är ett måste.
  • Att välja rätt verktyg och processer för dig hantering av certifikatlivscykeln.

Skräddarsydda molnnyckelhanteringstjänster

Få flexibla och anpassningsbara konsulttjänster som anpassas till dina molnbehov.

Läs mer

Överväger molnbaserad PKI

Till skillnad från lokala motsvarigheter är molnbaserade PKI:er externt hostade PKI-tjänster som tillhandahåller PKI-funktioner på begäran. Den molnbaserade metoden minskar drastiskt belastningen på enskilda organisationer – ekonomiskt, resursmässigt och tidsmässigt, genom att eliminera organisationers behov av att sätta upp infrastruktur internt.

Tjänsteleverantören hanterar allt löpande underhåll av PKI samtidigt som skalbarhet och tillgänglighet säkerställs – vilket ger en problemfri och effektiv tjänst. Skalbarhet för att matcha organisationens växande behov är en annan fördel. Tjänsteleverantören hanterar alla ytterligare krav – installation av programvara, hårdvara, säkerhetskopiering, katastrofåterställning och annan infrastruktur – som annars skulle bli oanvändbar.
en börda för ägare av lokala PKI-lösningar.

Alternativ för molnbaserade PKI-modeller

PKI, eller Public Key Infrastructure, kan utnyttjas på flera sätt för att gynna organisationen. I alla molnbaserade PKI-alternativ är datasäkerhet av yttersta vikt, och en välfungerande PKI är ett måste. Här är följande alternativ för molnbaserad PKI.

  • Enkel modell
  • Tvånivåhybridmodell
  • Trenivåmodell
  • Trenivåhybridmodell

Enkel modell

Detta är den enklaste modellen för molnbaserad PKI att driftsätta och kan vara användbar för småskaliga affärsmodeller. I den här metoden rotar CA placeras lokalt och offline på samma sätt som för traditionell PKI. Utfärdande CA lagras i molnet och agerar
som en primär företags-CA som utfärdar certifikat till slutenheterna. Här utnyttjar vi molnleverantörerna för att tillhandahålla hantering och tillgänglighet för de virtuella maskinerna och certifikatutfärdarna.

Till exempel: Om din utfärdande CA finns på AWS Certifikathantering privat CA (ACM PCA) och sedan kommer AWS-moln-HSM:er att användas för att lagra de privata nycklarna.

Enkel modell

OBS: I modellen ovan är säkerheten för de privata nycklarna för den utfärdande CA helt beroende av molnleverantörerna, eftersom du använder moln-HSM:er.

Tvånivåhybridmodell

I den här arkitekturmodellen utökar vi den enkla modellen för ökad säkerhet. Rot-CA hålls lokalt och offline. Här har vi två utfärdande CA:er, en hålls kvar på plats, och en annan hålls kvar på moln, och båda är uppkopplad.Om du ser den tidigare modellen kommer det att vara problem med att hantera enheterna i den lokala plattformen. I den här modellen uppnår vi dock hybridalternativet eftersom vi hanterar båda resurserna (lokal och molnbaserad).

Den molnutgivande CA kommer att fokusera på de saker som behöver utfärdas och vara tillgängliga utanför den lokala plattformen, medan den lokala utfärdande CA kommer att fokusera på säkerheten för icke-molnresurser, t.ex. arbetsstationsautentisering, domäncertifikat etc.
Även den andra PKI-komponenter såsom CDP, AIA och OCSP kan placeras i molnet med hög tillgänglighet. Genom att göra detta kan molnleverantörerna utnyttjas för återkallningsinformation. För den här modellen skyddas signeringsnycklarna av både lokala och molnbaserade HSM:er.

Tvånivåhybridmodell

Trenivåmodell

I den här modellen är rot-CA:n lokal och offline och en policy-CA eller mellanliggande CA läggs till i hierarkin (hålls offline och säker) där du explicit kan definiera utfärdande- och applikationspolicyer. Policy-CA:n kommer att avgöra vilka policyer som ska användas.
som ska utfärdas och hur det kommer att utfärdas i en utfärdande CA. Om du vill ha noggrann kontroll över utfärdandet av dina certifikat, samtidigt som du utnyttjar molnleverantörer, är det rätt användning av den här modellen att placera policy-CA:n lokalt och den utfärdande CA:n i molnet.

Trenivåmodell

I den här modellen kommer dock den utfärdande CA:n inte att kunna utfärda certifikat för något annat ändamål än de som uttryckligen anges i policy-CA:n.

Trenivåhybridmodell

Den här modellen är nästan som det tidigare trenivåalternativet. Rot-CA och policy-CA hålls lokalt och offline. Det finns två utfärdande CA:er, en lokal och en annan i molnet för att hantera olika användningsfall. De explicita policyerna kommer att nämnas.
I policyn kommer CA och utfärdande CA:er att utfärda certifikat enligt detta. I den här modellen används HSM:er både lokalt (för den lokalt utfärdande CA:n) och i molnet (för den molnutfärdande CA:n) för att lagra signeringsnycklarna. Om du däremot vill använda en lokal HSM för din molnutfärdande CA för att lagra nycklar kan du göra detta genom att placera din Microsoft CA på AWS EC2-instansen.

Trenivåhybridmodell

Kostnaden för en molnbaserad PKI

Molnbaserad PKI innebär en minskad ekonomisk börda för organisationen jämfört med
PKI på plats. Medan PKI på plats medför både dolda och traditionella kostnader, medför molnbaserade PKI-tjänster bara en enda månadsavgift – vilket säkerställer att alla utgående PKI-kostnader
är fasta. Lokal PKI kostar organisationer cirka 305 000 dollar mer än den molnbaserade Managed PKI-tjänsten.

Slutsats

Molnbaserad PKI-tjänster gör det möjligt för organisationer att minska en del av de dyra kostnaderna i samband med PKI-implementering, vilket inkluderar infrastruktur och personalutbildning. Molnbaserade PKI-tjänster är en kostnadseffektiv lösning för alla kritiska affärstransaktioner, vilket innebär att organisationer inte längre behöver välja mellan dyr säkerhet eller ett kostsamt dataintrång.

Upptäck vår

Relaterade bloggar

Microsoft Azure är en av de tre största molntjänstleverantörerna som används av organisationer idag. De andra två som huvudsakligen används av organisationer är Amazon Web Services (AWS) och Google Cloud Platform (GCP). I det rådande läget i världen flyttar många företag sina tjänster till en delvis eller helt molnbaserad plattform som Azure eller AWS.

Hur kan du göra organisationer mer nöjda med Microsoft Azure?

Februari 2, 2022
Introduktion till kryptoförstöring

Bekanta dig med det nya konceptet kryptoförstöring

August 20, 2021

Skillnader mellan AWS KMS Azure Key Vault och GCP KMS

AWS KMS kontra Azure Key Vault kontra GCP KMS

July 23, 2021

Utforska

Fler ämnen