您当前的位置:   首页 > 新闻中心
确保PKI业务连续性的10个注意事项
发布时间:2020-08-16 19:59:02   阅读次数:

确保PKI业务连续性的10个注意事项(图1)

每年,企业都会遇到不可预见的事件,这些事件可能会扰乱运营。这些事件很少可预测,并且经常给IT和安全团队,网络乃至硬件供应链带来重大挑战。这就是业务连续性的源泉-确保即使发生中断,核心功能也保持完整。业务连续性的关键组成部分是公钥基础结构(PKI)。


作为企业IT的核心,PKI是用于保护敏感数据和保护跨多个关键业务应用程序的连接的基本工具。实际上,今天的平均PKI支持超过八种不同的应用程序,从面向客户的网站和服务到专用网络和VPN访问。但是,如果PKI处理不当,则会造成严重的中断和应用程序停机。


业务连续性计划必须考虑您的PKI及其依赖的所有应用程序。随着PKI保护新用例(如云服务,移动和远程员工)的压力越来越大,支持规模,可用性和保证的能力变得更加重要。


以下是确保PKI业务连续性的10个注意事项:


  1. 在实施过程中不要走捷径——有时在配置Microsoft CA(证书颁发机构)时单击“下一个,下一个,下一个”太容易了,但是简单的错误操作可能会使您的组织面临严重的风险和服务中断。


  2. 跟踪到期日期——如果您的根CA在接下来的8到12个月内可以续订,则应该开始适当地计划资源。如果您的根CA过期,则从它颁发的所有证书都将过期。行业标准做法是在10年后更新根CA,然后在20年后重新设置密钥。


  3. 规划对根CA的物理访问——根CA应保持PKI的信任基础,并应保持脱机状态,与网络保持空中隔离并受HSM硬件安全模块保护。但是,这意味着例行维护任务(例如发布证书吊销列表(CRL))需要多个人员在场。如果远程HSM持卡人距离根CA服务器仅数英里(而不是几步),这将变得更加困难。


  4. 不要忘记续订——如果CA关闭,您将无法颁发新证书,但是如果您的CRL过期,则所有证书将立即变得不可用。这是因为大多数应用程序都需要根据CRL或OCSP服务器检查证书的有效性。如果他们无法访问CRL服务器,或者CRL本身已过期,则用户将无法访问其应用程序。


  5. 留出足够的CRL重叠——涉及CRL的时间主要取决于三个时间点:发布时间,过期时间以及之间的重叠时间。请记住,CRL发布是脱机CA的手动过程。这种重叠的目的是提供时间在旧的CRL过期之前手动推送新的CRL,并避免可用性方面的差距。


  6. 确保您的CDP可在互联网上路由——当应用程序检查吊销的证书时,它将从指定的CRL分发点(CDP)检索当前的CRL 。检索CRL后,通常会对其进行缓存,直到过期为止。如果用户移出您的网络,则必须可以通过Internet访问CDP,以确保设备在需要时仍可以检索新的CRL。应该通过HTTP URL访问CRL。


  7. 检查签发CA上的磁盘空间——仔细考虑所有签发CA服务器上是否有足够的磁盘空间来处理扩展用途。例如,如果为数以千计的远程工作者启用了SSL VPN证书,则必须确保CA数据库具备存储证书和审核日志的能力,而没有延迟问题。


  8. 确保定期备份——CA备份并非万无一失,需要定期进行测试。如果您有CA数据库的备份但没有HSM,则无论如何都无法恢复CA。确保自动定期进行所有备份,以确保在发生系统故障时具有弹性。


  9. 库存证书——保留从内部和公共CA颁发的每个证书的完整库存至关重要。了解每个证书在哪里以及哪些应用程序依赖它们。如果SSL VPN成为您员工的关键业务应用程序,则需要重新评估与这些证书有关的风险。


  10. 跟踪证书的到期和所有权——组织无法承受因证书过期而导致的应用程序停机或服务中断。但是,如果员工远程工作,追逐应用程序所有者续订证书可能会很困难。建立库存时,请主动监控证书,明确职责并在到期前通知所有者。


应当进行定期的业务连续性练习,以确保在发生破坏性事件时能够快速有效地使业务恢复正常。应检查对设施和根CA的正确访问。所有文档都应该是最新的,并由参与业务连续性工作的所有利益相关者测试和理解。


如果有必要进行更改,请启动更改控件以更新任何文档。可以将它们视为具有生命力的,可呼吸的文档,它们的发展旨在维持PKI的预期保证水平。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:

您还可以得到揽阁信息所提供的优质服务。

揽阁信息是您的信息安全首选专家!


相关阅读

购买咨询电话
021-54410609