Огляд можливостей PKI
Завдяки SSL-сертифікатам користувачі у всьому світі можуть обмінюватися конфіденційною інформацією, будучи впевненими в тому, що вона захищена від зловмисних дій хакерів, і без побоювань користуватися Інтернетом для спілкування в ділових і особистих цілях, в тому числі для здійснення банківських операцій і покупок, а також для соціального спілкування і розробки продуктів.
В умовах інформаційного вибуху і швидкого поширення хмарних обчислень важливість SSL-сертифікатів зростає ще більше. Без впевненості в тому, що вони знаходяться на легітимному, а не на підробленому сайті, користувачі остерігаються обмінюватися цінною інформацією або робочими даними. Популярність соціальних сайтів і акцент на співробітництво через Інтернет в сучасних підприємствах ведуть до подальшого підвищення значення SSL-сертифікатів при користуванні Інтернетом як в робочих, так і в особистих цілях. Зростає обсяг особистої і професійної інформації, якою користувачі обмінюються по мережі, і тому їм потрібно впевненість в тому, що дані їх облікових записів надійно захищені.
Перехід на 2048-бітний стандарт SSL-сертифікатів допомагає підвищити впевненість власників веб-сайтів в безпеці обміну даними в мережі. Проте, загроза для безпеки підприємств, навіть якщо вони забезпечили високий рівень захисту, залишається високою. Однією з основних причин цього є неефективне управління SSL-сертифікатами.
Чотири причини неефективності управління SSL-сертифікатами.
- Підприємства, що мають сотні (і навіть тисячі) SSL-сертифікатів від різних постачальників можуть легко втратити їх з поля зору. В цьому випадку закінчення строку дії сертифіката може залишатися непоміченим протягом декількох місяців. При спробі зайти на такий сайт користувач побачить попередження браузера. Веб-сайти стають незахищеними, а їх відвідувачі - уразливими до атак зловмисників.
- Іноді співробітники компанії встановлюють самозавірені сертифікати за своєю ініціативою. Сертифікати, встановлені без відома ІТ-відділу, як правило, не справляються із забезпеченням захисту і можуть суперечити корпоративним правилам.
- Якщо SSL-сертифікати налаштовані або встановлені некоректно, то при спробі користувачів зайти на сайт в браузері відкривається вікно з попередженням, що може привести до простоїв в роботі.
- В результаті недотримання передових методик компанія може виявитися в ситуації, коли її сертифікати не відповідають нормативним вимогам, а веб-сайти стають уразливими для хакерських атак і інших небезпек. SSL-сертифікати можуть мати недостатню довжину ключа, ненадійний алгоритм або бути видані центром сертифікації з порушеннями в системі безпеки.
В цьому документі показано, як неефективне управління SSL-сертифікатами може привести до зниження ефективності роботи, невідповідності нормативним вимогам і навіть завдати шкоди підприємству, і як правильно обраний засіб управління допомагає компаніям більш ефективно відстежувати SSL-сертифікати і управляти ними.
Вартість проблем, пов'язаних з SSL-сертифікатами
Вартість володіння несанкціонованим або недійсним SSL-сертифікат може бути досить значною. Керувати SSL- сертифікатами складно, а управління SSL-сертифікатами в хмарі - це проста задача. Вартість помилок установки і настройки вручну може виявитися дуже високою. Це може завдати шкоди бізнесу, і для усунення проблем, пов'язаних з неправильною установкою, доведеться використовувати додаткові ресурси і відволікати ІТ-персонал від роботи над важливими проектами. Помилки, пов'язані з людським фактором, підвищують ризик для безпеки веб-сайту і користувачів.
Крім того, багатоетапний і складний процес відстеження сертифікатів вручну з використанням таблиць Excel забирає багато часу у співробітників ІТ-відділу. У великих підприємствах багато часу йде на управління сертифікатами, виданими різними центрами сертифікації. Втрачені угоди - ще один важливий фактор вартості. При отриманні повідомлення про закінчення терміну дії сертифіката 43% корпоративних користувачів скасують транзакцію і 77% споживачів - відмовляться від покупки на стадії корзини.
Крім того, підвищуються витрати підприємства, пов'язані зі збільшенням числа звернень в службу ІТ-підтримки з боку співробітників і клієнтів, які отримують попередження про недійсні сертифікати.
Для підприємств, зобов'язаних дотримуватися державних вимог, наприклад норми Закону про право збереження медичного страхування та захисту даних (HIPAA) і Стандарт безпеки даних в індустрії платіжних карт (PCI), прострочені SSL-сертифікати можуть стати серйозною проблемою. У галузі охорони здоров'я діють закони, згідно з якими організації зобов'язані повідомляти про всі випадки порушення безпеки даних. За порушення можуть стягуватися великі штрафи. Значні штрафи також накладаються за недотримання вимог про використання SSL-сертифікатів при здійсненні операцій з платіжними картами.
У багатьох компаніях діють внутрішні правила безпеки, обов'язкові для дотримання. Витрати організацій на усунення наслідків невідповідності нормативним вимогам можуть в три рази перевищити витрати на вжиття заходів по впровадженню необхідних стандартів безпеки даних.
У загальному і цілому, відстеження сертифікатів вручну - складний процес, пов'язаний з багатьма проблемами і великими витратами. Основна частка витрат, пов'язаних з неефективним управлінням сертифікатами, доводиться на «порушення безперервності бізнесу» та «зменшення ефективності ІТ-систем».
Складність відстеження сертифікатів веде до виникнення проблем
Труднощі управління SSL-сертифікатами
Проблема полягає в тому, що управляти великою кількістю сертифікатів дуже складно. На підприємствах можуть використовуватися сотні, якщо не тисячі, сертифікатів, і кожен з них має свою дату закінчення терміну дії. Співробітники, відповідальні за управління сертифікатами, іноді звільняються, а це ще більше підвищує ймовірність того, що про завдання управління деякими сертифікатами може бути забуто.
Ситуація ще більше ускладнюється, якщо в організації використовуються сертифікати, видані різними центрами, або самозавірені сертифікати. Хоча деякі центри сертифікації (ЦС) пропонують засоби управління, більшість з них не може бути застосовано до сертифікатів від інших ЦС, навіть якщо вони використовуються в одному середовищі.
На підприємствах з інфраструктурою, де використовуються розподілені мережі і різні додатки, можуть діяти різні правила безпеки і вимоги до SSL-сертифікатів. У той же час підприємства повинні забезпечувати дотримання галузевих стандартів. Наприклад, вони зобов'язані виконати вимоги Національного інституту стандартів і технологій США (НІСТ) по переходу від 1024-бітного до 2048-бітного шифрування для всіх SSL-сертифікатів. Підприємствам потрібна оглядовість в масштабах всієї мережі для виявлення всіх сертифікатів, що підлягають міграції.
ЦС з недостатньо захищеною інфраструктурою можуть стати жертвами атак зловмисників. Якщо це станеться, компанії повинні знати про наявність в своєму середовищі SSL-сертифікатів потерпілого ЦС, щоб припинити їх дію або перейти до сертифікатів іншого ЦС з більш надійною інфраструктурою.
З огляду на складності і різноманіття встановлених SSL-сертифікатів висока ймовірність виникнення помилок. Наприклад, в одних випадках потрібно установка проміжних сертифікатів, а в інших - ні. Установка і відновлення сертифікатів не обов'язково входять в число повсякденних задач. При установці SSL-сертифікатів вручну адміністратори повинні покладатися на свою пам'ять і ретельно документувати роботу, щоб забезпечити своєчасне продовження і правильність установки сертифікатів
Потреба: всеохоплююча система управління SSL-сертифікатами
Рішення: система управління SSL-сертифікатами, що полегшує їх виявлення і моніторинг, а також підтримує автоматичне продовження і перенесення. Ефективне рішення для управління SSL-сертифікатами має забезпечувати надання точної інформації про види використовуваних сертифікатів, а також підтримувати їх своєчасне продовження і автоматичний перехід на сертифікати іншого ЦС.
Характеристики ефективного рішення для управління SSL-сертифікатами.
• Автоматизація завдань виявлення і моніторингу. Співробітникам організації більше не буде потрібно вручну шукати номера або типи SSL-сертифікатів, які використовуються в їх середовищі.
• Автоматизація управління життєвим циклом сертифікатів, включаючи продовження і установку. Установка проміжних сертифікатів може представляти складності для системних адміністраторів, незнайомих з SSL-сертифікатами. Система управління SSL-сертифікатами з можливостями автоматичного перенесення і продовження проміжних сертифікатів допоможе уникнути некоректної установки і забезпечити безперервність бізнесу.
• Широкі можливості звітності. Підтримка подання звітів по всіх SSL-сертифікатах, включеним до опису, в цілях звітності та забезпечення відповідності нормативним вимогам. Надаються докладні звіти і зведення для керівництва.
• Охоплення всіх SSL-сертифікатів від будь-яких ЦС, включаючи самозавірені сертифікати, позбавляє від необхідності використовувати безліч окремих засобів управління, дозволяючи управляти всіма сертифікатами з
однієї консолі.
• Робота в розподілених мережах. Комплексне рішення працює з всіма SSL-сертифікатами незалежно від того, де вони встановлені.
• Повідомлення про наближення дати закінчення терміну дії сертифікатів. Усунення ризику раптового припинення дії сертифіката і появи попереджень в браузерах користувачів і відвідувачів веб-сайту.
• Рейтинг безпеки SSL-сертифікатів. Забезпечення дотримання користувачами передових галузевих методик і стандартів.
• Зручність доступу. Сертифікатами можна управляти і з настільних комп'ютерів, і з мобільних пристроїв.
• Зручність управління. Ідеальною системою управління SSL-сертифікатами є рішення на основі хмари, що звільняє організації від необхідності управління сервером і програмним забезпеченням.
Єдине комплексне рішення допоможе організаціям, які нині зазнають труднощів з управлінням SSL-сертифікатами, забезпечити їх оглядовість в масштабах всього підприємства.
Поширені проблеми управління сертифікатами
44% організацій вказали, що проблеми, такі як некоректна установка або настройки SSL-сертифікатів, «кілька» або «надзвичайно» поширені в їх організації. У 45% організацій мали місце порушення системи безпеки внаслідок проблем з SSL-сертифікатами. 56% респондентів відзначили, що їм складно відстежувати терміни закінчення дії сертифікатів.
Рішення: система управління SSL-сертифікатами, подібна службі Certificate Intelligence Center, яка автоматизує процеси виявлення і продовження SSL-сертифікатів. Маючи ефективне рішення для управління
SSL-сертифікатами, організації можуть скоротити ризики, пов'язані з установкою, налаштуванням і відстеженням сертифікатів вручну, підвищити ефективність роботи ІТ-персоналу, безпеку користувачів і забезпечити відсутність простоїв.
Top ^
При виборі способу створення PKI для виконання критично важливих можливостей, підприємствам необхідно вибирати між розгортанням програмного забезпечення PKI всередині компанії або аутсорсингу послуг PKI у надійного провайдера. Внутрішні розгортання часто мають властиві недоліки - самостійно створене програмне забезпечення, обмежену фізичну безпеку і низьку надмірність, що перешкоджає успішній реалізації PKI. Процес планування, покупки, впровадження, розгортання і тестування власної PKI може зайняти багато місяців, затримуючи розгортання стратегічних бізнес-ініціатив, а також віддачу від існуючих інвестицій. Аутсорсировані PKI пропонують ряд переваг, включаючи зниження вартості володіння, швидке розгортання і зниження ризику.
Критичні фактори при створенні PKI
При виборі рішення PKI потрібно враховувати такі фактори, які охоплюють технологію PKI, інфраструктуру і бізнес-практику:
- Функціональність PKI
Для забезпечення надійної безпеки, простоти адміністрування і практичного управління управлінням сертифікатами PKI має ґрунтуватися на модульному дизайні, який включає надійну високопродуктивну підтримку видачі сертифікатів і управління життєвим циклом, протоколів і можливості обробки різних типів сертифікатів, комплексні функції адміністрування, збереження записів, інтеграція каталогів і управління ключами. - Простота інтеграції
Щоб мінімізувати витрати, використовувати існуючі інвестиції та забезпечити сумісність в різних середовищах, підприємствам слід вибрати PKI, який легко інтегрується з усіма новими і застарілими додатками, які він повинен підтримувати. PKI не повинен блокувати кінцевих користувачів у власному ПО для ПК. Крім того, він повинен мати можливість адаптувати різні політики робочого столу не тільки до внутрішніх ІТ-відділів, але також до партнерів, постачальників і клієнтів. - Доступність і масштабованість
PKI повинен бути доступний спільноті користувачів цілодобово. Крім того, він повинен мати можливість масштабувати мільйони користувачів, якщо це необхідно, щоб йти в ногу із зростанням підприємства. - Безпека та управління ризиками
Щоб зберегти довіру і мінімізувати фінансову і юридичну відповідальність, підприємства, на яких запущена інтернет- PKI, повинні захищати інфраструктуру PKI, приватні ключі та інші цінні активи не тільки від мережевих атак, але також і загрози для фізичного об'єкта, в якому розміщуються активи. - Експертиза
Щоб гарантувати, що PKI буде належним чином розгорнена, підтримана і захищена, підприємства повинні використовувати професіоналів в області безпеки, які проходять всебічну підготовку в PKI. - Обсяг роботи
Щоб максимізувати віддачу від інвестицій (ROI), заохочувати співпрацю і забезпечувати гнучкість бізнесу, підприємства, інвестують в PKI, повинні упевнитися, що пропозиція може бути легко включена в інтрамережі, екстрамережі, спільноти миттєвих повідомлень, мережі веб-сервісів, інтернет-ринки, VPN, і інші спільноти, що представляють інтерес.
Відмінності між автономним програмним забезпеченням PKI і керованої службою DigiCert PKI
| Фактор успіху | Функціональність PKI | Автономне програмне забезпечення PKI |
| Функціональність PKI | Повнофункціональний PKI. Досвід сотень підприємств | Підприємство розробляє, будує, розгортає і підтримує інфраструктуру PKI і несе 100% відповідальності за безпеку реалізації. Не маючи перевіреного програмного забезпечення та професійного досвіду розробки PKI |
| Простота інтеграції | Безшовна інтеграція з стандартними додатками, браузерами, поштовими клієнтами і т.д. | Потрібно власне клієнтське програмне забезпечення для всіх користувачів і додатків |
| Доступність і масштабованість | Гарантована доступність PKI і аварійне відновлення за запитом. Масштабованість. Використання високопродуктивної відмовостійкої інфраструктури | 100% відповідальність за інфраструктуру і відновлення після збою. Надмірність і масштабованість обмежена. |
| Безпека та управління ризиками | Гарантована безпека. Значна практика створення і використання PKI. Зовнішній аудит | Повна відповідальність за безпеку інфраструктури, розробка власних політик і практики. 100% відповідальність за ризики |
| Персонал | Строгий процес відбору співробітників. Високої професіоналізм в області безпеки. Сучасна база знань і набори навичок | |
| Сфера діяльності | Міжнародна мережа центрів сертифікації. Підприємство може вибирати приватні особи і / або загальнодоступні мережі довіри | Приватна перехресна крос сертифікація |