5 викликів PKI, з якими стикаються організації
- SSL Everywhere - Занадто багато сертифікатів розкидано всюди
SSL Everywhere призвів до ширшого використання сертифікатів SSL/TLS в Інтернеті. І це, зрештою, добре. Кожна організація повинна запроваджувати HTTPS на своїх цифрових платформах, щоб забезпечити безпечні автентифіковані з’єднання, які захищають дані під час передачі. Це допомагає захистити їхні найбільш конфіденційні дані від рук зловмисників.Однак проблема SSL Everywhere полягає саме в тому, що випливає з назви: SSL використовується всюди . Отже, це означає, що зараз використовується набагато більше сертифікатів SSL/TLS, ніж ми бачили багато років тому, не кажучи вже про інші типи сертифікатів, як-от сертифікати автентифікації пристрою та користувача . І кожним із цих цифрових сертифікатів і його парами криптографічних ключів необхідно належним чином керувати.
- Скорочення терміну дії сертифіката
За останні кілька років ми багато чули про коротший термін служби сертифікатів. Хоча на перший погляд скорочення терміну служби сертифікатів звучить потенційно вигідно, це може мати ненавмисний протилежний ефект. Наприклад, це може призвести до збільшення кількості збоїв у сертифікаціїПричини до скорочення терміну дії сертифікатів
- Кілька років тому термін дії сертифіката скоротився до 398 днів .
- Передові організації використовують нові короткострокові сертифікати (наприклад, 7-10 днів).
- Деякі органи сертифікації видають 90-денні сертифікати.
- Google хоче перевести галузь на 90-денний максимальний термін служби .
Менші організації часто покладаються на ручні методи керування сертифікатами - наприклад, електронні таблиці Excel. Це «здійсненне», якщо у вас є лише кілька сертифікатів, про які варто турбуватися. Але що, якщо ви підприємство, яке керує сотнями, тисячами чи десятками тисяч сертифікатів?
Якщо сертифікат уже зламано, головне – його потрібно негайно відкликати. Неважливо, чи існує він 90 днів чи 398 днів — його все одно потрібно негайно відкликати. І поки цього не станеться, ваші охоплені системи та програми знаходяться під загрозою. Тут ключовим є вимога та застосування жорстких політик і процесів щодо відкликання та керування сертифікатами, а також впровадження автоматизації життєвого циклу сертифіката, важливіше, ніж встановлення довільного терміну дії сертифіката.
- Потреба в кращому управлінні сертифікатами та автоматизації життєвого циклу
Більше сертифікатів + коротший термін дії сертифіката = набагато більше проблем для людей, які керують сертифікатами. Розмови про проблеми безпеки PKI майже завжди повертаються до керування життєвим циклом сертифікатів . Загалом, керування життєвим циклом сертифіката зводиться до кількох важливих моментів:- Знаючи, де в будь-який момент розгортаються всі ваші сертифікати,
- Знаючи, хто відповідає за їх випуск, моніторинг і керування ними,
- Впевненость, що ваша організація використовує лише дійсні сертифікати та
- Оновлення ваших сертифікатів до закінчення терміну дії або заміна їх після відкликання.
Але якщо у вас немає системи, яка допоможе вам керувати та автоматизувати багато з цих важливих, але монотонних завдань, то вашу організацію чекає важка поїздка.
- Наявність застарілих систем PKI, які не відповідають поточним потребам безпеки
Керівники компаній часто прагнуть запровадити «останні та найкращі» технології у своїй діяльності. Однак історично так склалося, що таке мислення часто не поширювалося на найосновніші механізми безпеки. Для багатьох організацій:- Вони часто покладаються на застарілі системи PKI і неефективні процеси.
- Іншим не вистачає ресурсів і ноу-хау для правильного впровадження безпеки PKI.
- Багато хто намагається зрізати кути, щоб заощадити час і гроші.
Зайве говорити, що PKI - це жахливий безлад, якщо його не впроваджено належним чином. У результаті організації стикаються з дедалі більшими проблемами та пильним контролем з боку споживачів і законодавців. Погані конфігурації погіршують загальний стан кібербезпеки вашої організації , створюючи вразливості, які роблять її та її конфіденційні дані відкритою для атак, використання та компрометації.
- Бажання бути підготовленим до квантових обчислень
Квантові комп’ютери, які можуть зламати сучасне шифрування з відкритим ключем, з’являються незалежно від того, готові ви до цього чи ні. І бути крипто-гнучким є ключовим елементом підготовки до його кінцевого появи. Криптографічна гнучкість або крипто-гнучкість — це концепція наявності механізмів і систем безпеки на основі PKI, які забезпечують видимість і оперативність криптографічного реагування. Йдеться про знання:- Які системи та активи у вас є
- Як вони використовуються, і
- Чи ваша організація та PKI обладнані для вирішення проблем, з якими ви зіткнетеся у своїй ІТ-екосистемі.
Бути крипто-гнучким особливо важливо, якщо взяти до уваги загрозу, яку несуть квантові комп’ютери. Сучасні криптографічні алгоритми з відкритим ключем, на які ми покладаємося сьогодні наприклад, RSA, який використовує ключі на основі простих множників, будуть зламані за алгоритмом Шора. Ось чому постквантова криптографія (PQC) або те, що часто називають квантово-стійкою або квантово-безпечною криптографією, стоїть на горизонті.
Крипто-гнучкість передбачає можливе впровадження гібридних алгоритмів PQC . Як адміністратору PKI ваш перший крок — це інвентаризація всіх ваших криптографічних ключів і сертифікатів . Таким чином ви знаєте, які цифрові активи у вас є та де вони розташовані.
Зделай сам PKI
PKI требует опыта и планирования для правильного проектирования и развертывания. Решения «зделай сам» и решения для быстрого устранения неполадок не учитывают все сегодняшние уязвимости и угрозы завтрашнего дня. Вот некоторые из глобальных ошибок при самостоятельном изготовлении PKI
- ОТСУТСТВИЕ ПЛАНИРОВАНИЯ БУДУЩИХ ИТЕРАЦИЙ
Организации растут, бизнес-цели меняются, появляются новые продукты или новые команды. Решение PKI, которое невозможно адаптировать от одного бизнес-подразделения к другому, или решение, не предназначенное для новых развертываний, устаревает или, что еще хуже, становится помехой. - ПОПЫТКА УПРАВЛЯТЬ ЭКОСИСТЕМОЙ PKI САМОСТОЯТЕЛЬНО
Самостоятельные решения часто оказываются громоздкими и ресурсоемкими мерами безопасности. Без экспертной реализации и мощного надзора становится трудно отслеживать, где работает PKI, состояние ключей и сертификатов и где могут быть упущения или пробелы. - ПОСТРОЕНИЕ PKI БЕЗ СОБЛЮДЕНИЯ ТРЕБОВАНИЙ
Существует несколько моделей развертывания PKI - от локальной до облачной. Важно понимать, какой вариант обеспечивает безопасность в соответствии с местными, региональными или национальными правилами. Также важно понимать, как решение PKI вписывается в более крупную долгосрочную стратегию безопасности для организации и отрасли. - ОТСУТСТВИЕ ПОДГОТОВКИ К ПРЕДСТОЯЩЕЙ РЕВОЛЮЦИИ PQC
Постквантовые вычисления не за горами. Опытные сотрудники службы безопасности знают, что не нужно ждать его прибытия, прежде чем настраивать соответствующую крипто-гибкую архитектуру, чтобы обеспечить возможность поворота и защиты от атак постквантовой криптографии.