什么是PKI?
PKI是公钥基础设施(Public
Key Infrastructure)的缩写,是一个管理数字证书颁发的机制,它是能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系。TLS/SSL证书主要使用PKI在客户端和服务器之间建立安全连接,也用于对IoT设备进行身份验证。PKI还可采用公钥和私钥的非对称加密实现保护端到端通信加密。
什么是PKI管理?
与早期相比,PKI的管理变得越来越复杂。随着数字证书的数量呈指数级增长,如果PKI因管理不当而犯下的错误极有可能会导致数据泄露。所以,顾名思义,PKI管理是管理并处理公钥基础设施所涉及的众多任务和职责的有效方法。PKI管理包括管理数字证书和密钥、CA、HSM等等。因此,PKI管理在现在的应用场景中需要很多专业知识,这也给IT团队带来了比以往任何时候更大的压力。
常见的PKI管理错误
基于PKI的数字证书给企业用户、终端设备、应用程序等提供了非常大的便利性和更高的安全性。然而,PKI证书的强大程度取决于其背后的流程和工具。与其他安全协议一样,PKI管理不当会导致各种各样的错误。这就为不同的故障、中断和威胁创造了漏洞入口。当不遵循PKI最佳实践时,将会给系统带来一些不安全风险。以下是常见的PKI管理错误:
缺乏加密敏捷性
加密敏捷性是在不大幅度改变系安全统基础设施的情况下快速适应新加密算法的能力。
这个过程与公钥基础设施发展一样重要,因为威胁也在不断地演变。因此,不管何时在系统中发现漏洞,PKI都能通过更新所有的加密机制来尽快解决它。如果这个过程没有缺乏加密敏捷性,此漏洞将可能被利用。
缺乏自动化管理
由于系统中存储了数千个证书,证书管理员无法有效地管理每个证书。当这些证书增加到一定数量时,依靠电子表格或邮件通知管理证书有效期极易使企业遭受到灾难性服务中断。因为不当的证书管理方式很难在证书到期前发现并更新每张证书。此外,依赖手动管理PKI极大地增加了出错概率,且所涉及的工作量也是非常大的。所以,企业不能简单地依靠手动管理PKI更新,相反,自动化管理PKI能有助于提高效率并减少人为错误。
私有CA证书使用不当
为了节省时间或成本,一些企业选择自建CA为自己颁发证书,而不是通过第三方CA机构获取数字证书。私有CA签发的证书通常用于内部环境使用,如果在互联网环境中,请使用可信CA签发的PKI证书。此外,企业自签发证书通常没有进行集中管理,还常存储在内部容易受到攻击的地方。
很多企业在管理PKI时都会遇到上述的常见问题。为避免这些PKI管理错误,您可遵循以下PKI最佳安全实践:
PKI最佳安全实践
精心设计
在实施PKI之前,企业应精心设计、合理规划,使PKI易于管理、且又不易受攻击影响。此外还需要考虑证书现在及之后的用途,选用哪个CA机构颁发证书,是部署本地化PKI还是云端PKI。最重要的是,如果企业没有具备构建基础架构专业知识的内部员工,请找专业人士,而不是在PKI设计上妥协。
更新最新安全协议
随时更新至最新的安全补丁和协议。为确保安全,请随时保证您的PKI处于最新版本状态。
安全审计
由于证书数量呈指数增长,企业必须维护、追踪每一张数字证书。首先需要审计IT生态系统,定期全面地监控数字证书,确保过期证书不会导致灾难性问题。
安全存储
根证书私钥和签发证书机构是PKI的核心,对安全性要求最高。PKI最佳实践要求将它们存储在硬件安全模块(HSM),使其获得最大的保护。即时不存储在HSM中,也不建议将它们存放在连接到网络的设备上。
自动化管理
依靠自动化管理方式颁发、撤销和更新数字证书,使这些关键流程免受人为错误的影响,同时确保它们能适应现代企业所需的速度和规模而运行。自动化PKI管理解决方案还可以减少管理证书和密钥所需的预算和人员。
定期检测
PKI并不是一直处于静止不动的状态。最佳实践建议定期检测、更换证书和密钥。这需要有一个自动化的系统,可用来自动吊销、更新过期或过时的证书,以免企业遭受攻击风险。
最佳PKI解决方案
当您了解了应该遵循哪些最佳实践——以及可能会出现哪些问题时,接下来就该全面地执行起来。
锐成PKI管理解决方案基于数字证书的安全基础设施,支持多业务多应用,将专业、复杂的数字证书管理,身份认证等安全功能服务化,从而使客户将更多精力集中在自身业务及业务安全需求方面。更多关于PKI管理问题请详询在线客服。
关于锐成
联系我们
我的评论
还未登录?点击登录