作為企業IT的核心,PKI是用于保護敏感數據和跨多個關鍵業務應用連接的基本工具,是目前網絡安全建設的基礎與核心。實際上,當前的PKI平均支持超過8種不同的應用,從面向客戶的網站和服務到專用網絡和VPN訪問。但是,如果PKI運用不當,則會給企業造成嚴重的中斷和應用宕機。
為企業制定一項PKI的業務連續性計劃是十分必要的,而且要考慮企業的PKI及其所有依賴它的應用。隨著云服務、移動設備和遠程辦公等新技術及新模式層出不窮,PKI保護這些新用例的壓力也越來越大,對于其規模、可用性和安全保障的支持能力變得更加關鍵。
以下是確保PKI業務連續性的10個注意事項:
1.不要在實施過程中偷工減料
有時在配置MicrosoftCA時一直單擊“下一步,下一步,下一步……”也未免太容易了,但是簡單的錯誤操作可能會使企業面臨嚴重的風險和服務中斷。
2.跟蹤到期時間
如果您的根CA在接下來的8到12個月內可以續訂,則應該開始適當地計劃資源。如果您的根CA過期,則從它頒發出的所有證書都將過期。行業標準做法是在10年后更新根CA,然后在20年后重新設置密鑰。
3.計劃對根CA的物理訪問
根CA應作為PKI信任的基礎,應保持脫機狀態,與網絡保持物理隔離,并受HSM(硬件安全模塊)保護。但是,這意味著例行維護任務(例如發布證書吊銷列表(CRL))需要多個人員在場。如果遠程HSM持卡人距離根CA服務器比較遠(而不是幾步的距離),這將變得更加困難。
4.別忘了續訂
如果CA關閉,您將無法頒發新證書,但是,如果您的CRL過期,則所有證書將立即無法使用。這是因為大多數應用都需要根據CRL或OCSP服務器檢查證書的有效性。如果他們無法訪問CRL服務器,或者CRL本身已過期,則用戶將無法訪問其應用。
5.留出足夠的CRL重疊
涉及CRL時,有三個時間點很重要:發布時間、過期時間以及兩者之間的重疊時間。請記住,CRL發布是脫機CA的手動過程。這種重疊的目的是提供時間在舊的CRL過期之前手動推送新的CRL,并避免可用性方面的差距。
6.確保您的CDP可在互聯網上路由
當應用在檢查吊銷的證書時,它將從指定的CRL分發點(CDP)檢索當前的CRL。檢索CRL后,通常會對其進行緩存,直到過期為止。如果用戶離開您的網絡,則必須通過Internet可以訪問CDP,以確保設備在需要時仍可以檢索新的CRL。應通過HTTPURL訪問CRL。
7.檢查簽發CA上的磁盤空間
仔細考慮所有簽發CA服務器上是否有足夠的磁盤空間來處理擴展用途。例如,如果為數以千計的遠程工作人員啟用了SSLVPN證書,則必須確保CA數據庫具備存儲證書和審核日志的能力,而沒有延遲問題。
8.確保定期備份
CA備份并非萬無一失,需要定期進行測試。如果您擁有CA數據庫的備份但沒有HSM,則無論如何都無法恢復CA。因此要自動定期進行所有備份,以確保在發生故障時系統具有足夠的彈性。
9.清單證書
保持內部和公共CA頒發的每個證書的完整清單至關重要,了解每個證書在哪里以及哪些應用程序依賴于它們。如果SSLVPN成為您員工的關鍵業務應用,則需要重新評估與這些證書有關的風險。
10.跟蹤證書的到期時間和所有權
企業是無法承受因證書過期而導致的應用停機或服務中斷的。但是,如果員工遠程工作,那么追蹤應用所有者續訂證書可能會很困難。因此建立庫存時,請主動監視證書,明確職責并在到期前通知所有者。
企業應當進行定期的業務連續性練習,以確保在發生破壞性事件時能夠快速有效地使業務恢復正常,還應當檢查對設施和根CA的正確訪問,并且,所有文檔都應該是最新的,并由參與業務連續性工作的所有利益相關者進行測試和理解。
如果有合法更改的需要,請啟動更改控件以更新文檔,打個比方,可以將它們視為具有生命的文檔,它們的發展和“成長”旨在維持PKI的正常運行,進而與企業業務連續性密切相關。
