发布日期:2024-12-31 浏览次数:
公钥基础设施 (PKI) 是大多数组织加密实施的支柱。PKI 提供了一个定义明确、安全的系统来验证和加密关键信息。PKI 使用数字证书来保护敏感数据、保护端到端通信,并为您企业中的用户、设备和应用程序提供唯一的数字身份。
随着技术的不断进步,PKI 已具备覆盖更广泛用例的能力,包括保护设备、云平台、容器和物联网生态系统。DigiCert 最近的一份报告表明,目前全球 91% 的组织都依赖 PKI 来保护新兴的数字基础设施。如果使用得当,PKI 可以为您的组织承担广泛的责任,从身份验证到加密,再到确保文件和电子邮件的完整性。
然而,太多组织经常陷入常见的 PKI 部署错误,导致其 PKI 基础设施比他们意识到的更难管理且更不安全。PKI 很复杂,但如果部署正确,它可以保护关键数据、保护通信并验证用户、设备和应用程序。
不幸的是,即使是最善意的 PKI 部署也可能因常见错误而失败。事实上,Ponemon Institute2023 年的一份报告强调, 67% 的组织在过去两年中至少经历过一次与证书相关的中断。最近的一项研究表明,75% 的组织在管理 PKI 方面遇到困难,通常是由于部署错误导致其基础设施面临不必要的风险。
让我们分析一下最常见的五个 PKI 部署错误以及如何避免它们。
确保组织生态系统的安全对于赢得消费者信任、遵守法规和降低企业风险至关重要。使用 PKI 可以带来极佳的性价比,是企业对抗试图窃取信息或破坏物联网设备的恶意行为者的武器库中最具战略意义的武器之一。然而,PKI 部署错误意味着许多组织最终花费更多资金购买了无法充分保护敏感资源的系统。
让我们分析一下 PKI 部署中最常见的五大错误和挑战:
部署 PKI 时最常见的错误是低估所需的资源。运行内部 PKI 需要大量的精力、时间和金钱。缺乏熟练的网络安全专业人员是一个重大障碍。Keyfactor 的一项研究表明,只有 38% 的组织有足够的员工专门负责部署 PKI。大约45% 的计划外 PKI 故障是由于员工缺乏管理证书生命周期和事件报告所需的培训。专业知识的匮乏往往导致 PKI 落入缺乏经验的人员手中,这进一步增加了中断和安全漏洞的风险。
需要有一支拥有专业资源的专业团队来管理整个团队。PKI 团队应该拥有充足的资源和熟练的负责人,能够领导并有效应对中断或安全事件。
结构化和深思熟虑的规划是 PKI 部署的最佳实践之一。适当的规划不仅可以帮助组织跟踪其证书,还可以降低 PKI 的安全风险。系统建立一段时间后,如果未以结构化方式构建,您的组织很容易忘记已颁发的证书。许多组织不关注或不知道他们拥有的证书数量、证书到期日期、证书查找位置等。
这种管理不善的后果包括审核失败、证书和密钥滥用,最终可能危及组织的系统。Venafi于 2022 年开展的一项研究发现,由于证书可见性和规划不佳,83% 的公司遭遇了与证书相关的中断,其中26%的组织的业务受到了严重影响。
一个引人注目的例子是,攻击者 利用华硕安全证书推送了恶意版本的华硕 Live Update ,在超过一百万台电脑上安装了后门。
根 CA 的安全性尤为重要。在 PKI 部署中,所有信任都来自证书颁发机构 (CA)。CA 颁发根证书,以确保用于验证真实身份的加密密钥的有效性。
根 CA 是整个组织环境中颁发的每个证书的信任基础。如果您无法信任根 CA,则无法信任 PKI。根据安全准则,指定谁可以获得证书以及何时吊销证书对于建立和维护对 CA 的信任以及避免 PKI 部署错误至关重要。需要定期审核相关 CA,以确保正确实施证书实践声明 (CPS),并避免对其网络造成任何风险。
正如 Certified Security Solutions 的首席技术官Ted Shorter所说:
“PKI 拥有一个定义明确的政策和实践结构,即证书政策 (CP) 和证书实践声明 (CPS)。这些是定义管理 PKI 的要求以及实施如何满足这些要求的出色框架。创建这些文档可能是一项艰巨的任务。但是,重要的是要注意,简单地逐字复制其他人的 CP/CPS 文档集是不够的;这些工具只有在真正代表您组织的 PKI 要求和运营流程时才有价值。”
另一个 PKI 部署错误是缺乏对整个证书生命周期管理的前瞻性规划。对过期证书处理不当可能会导致中断并产生大量费用。在这种情况下,自动续订证书可能会有所帮助。如果组织正在进行手动操作,那么监控证书的过期是必须的。
您需要制定一个完整的计划,制定一个不仅涵盖初始推出而且涵盖整个证书生命周期的颁发流程,才能确定最适合您的组织及其 PKI 的方案。此外,弄清楚如何处理撤销、密钥存档、密钥恢复和所有其他意外情况也是一个好主意。
黑客可以使用各种技术来分析和检测正在使用或传输的密钥。必须确保密钥在FIPS 140-2 Level 3系统下安全存储。
布鲁斯·施奈尔 (Bruce Schneier) 是一位广受尊敬的美国密码学家和安全研究员, 他以极其严肃的态度撰写了有关密钥安全性的文章 ,让你不禁为自己没有做的每一件事感到一丝愧疚:
“任何基于 CA 的系统中最大的风险之一就是您自己的私人签名密钥。您如何保护它?您几乎肯定没有一个具有物理访问控制、TEMPEST 屏蔽、“空气墙”网络安全和其他保护措施的安全计算系统;您将私钥存储在传统计算机上。
在那里,它很容易受到病毒和其他恶意程序的攻击。即使你的私钥安全地存放在你的电脑上,你的电脑是否放在一个有视频监控的锁着的房间里,这样你就知道除了你之外没有人使用它?如果它受密码保护,猜出那个密码有多难?如果你的密钥存储在智能卡上,这张卡的抗攻击性有多强?[大多数都非常弱。]如果它存储在一个真正抗攻击的设备中,受感染的驾驶电脑是否能让值得信赖的设备签署你不打算签署的东西?“
如果您将密钥字符串保存在电子表格、U 盘、普通硬盘或某个可远程访问的在线位置,那么您就犯了一个错误。老实说,您可能应该使用HSM。
我们强调,制定详细、深思熟虑的 PKI 部署计划可以最大程度地降低风险,并最大程度地提高组织安全状况的长期成功率。研究表明,80% 的 IT 领导者认为规划不足是PKI 实施挑战的主要原因。根据我们的经验,PKI 需要根据每个组织的特定安全需求、规模和复杂性进行量身定制。
Gartner 表示:“如果安全领导者能够成功地将 X.509证书管理重新定位为引人注目的商业故事,例如数字业务和信任支持,那么项目成功率将提高 60%,而目前这一数字还不到 10%。”
我们强烈建议从制定明确的证书颁发和生命周期管理政策和指南开始,这有助于防止出现安全漏洞。证书生命周期工作流程应始终有适当的文档记录,涵盖证书的颁发、续订、撤销和替换。组织应清楚了解每个证书的部署位置、跟踪到期日期,并制定流程来处理续订和撤销。
PKI 是一种复杂的基础设施,需要专业技能和关注。根据Ponemon Institute 的调查,73%的组织由于数字证书管理不善而经历了计划外停机或中断。我们始终建议客户投资组建一支专家团队,包括密码学家、系统管理员和安全工程师。
如果内部专业知识不可行,我们通常建议将 PKI 外包给值得信赖的托管 PKI 服务提供商。外包提供可扩展、安全且可靠的解决方案,可消除管理不善的风险。
定期审核对于确保持续遵守安全政策和行业法规至关重要。此类审核通常可以发现隐藏的漏洞、过时的证书做法或错误配置,这些漏洞可能被忽视,但可能对安全造成严重风险。在这里,我们重点关注关键领域,包括:
证书实践声明 (CPS):确保正确实施并遵守既定的实践。
证书吊销列表 (CRL):验证及时吊销和删除过期证书。
遵守政策:确保组织遵守其既定的证书政策。
DigiNotar泄密事件是一个明显的例子,表明未能定期审核 CA 可能会带来灾难性的后果。我们利用这样的案例来提醒我们的客户持续监控和审核其 PKI 系统的重要性。
在我们的咨询工作中,我们经常遇到组织在手动证书管理方面遇到困难。一项研究表明,55% 的组织缺乏有效证书生命周期管理所需的自动化。
自动化是避免人为错误和保持安全弹性的关键。我们鼓励客户使用Digicert 的自动化证书管理系统,以简化颁发、监控和续订流程。借助自动化,您可以降低证书意外过期的风险,从而减少业务中断。
对于任何 PKI,保护加密密钥都是不可协商的。密钥存储不当会带来严重的安全威胁。我们建议客户部署硬件安全模块 (HSM)来生成、存储和管理敏感密钥。
我们建议使用符合FIPS 140-2 Level 3标准的 HSM 来保护根密钥和其他敏感加密资产。NIST发现,部署 HSM 可以将密钥泄露风险降低90%,让您高枕无忧,确保您的加密密钥不会被盗窃或篡改。
我们已帮助多家组织实施 HSM 解决方案来保护其内部 CA。这些组织的密钥泄露事件因此显著减少。
成功部署 PKI 是保护数字基础设施的必要条件。凭借正确的专业知识和策略,您的组织可以实现不折不扣的信任、安全和弹性,坚定抵御现代网络威胁。
揽阁信息可以根据您的特定需求设计、实施、管理和迁移您的 PKI 系统。随着网络威胁数量的增加,管理 PKI似乎变得十分困难。但您可以放心,因为我们经验丰富的员工将帮助您构建和监控您的 PKI。我们可以根据我们的自定义框架评估您的 PKI,为您提供 PKI 和 HSM 部署的最佳实践。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
