作為企業(yè)IT的核心,PKI是用于保護敏感數(shù)據(jù)和跨多個關(guān)鍵業(yè)務(wù)應(yīng)用連接的基本工具,是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心。實際上,當(dāng)前的PKI平均支持超過8種不同的應(yīng)用,從面向客戶的網(wǎng)站和服務(wù)到專用網(wǎng)絡(luò)和VPN訪問。但是,如果PKI運用不當(dāng),則會給企業(yè)造成嚴(yán)重的中斷和應(yīng)用宕機。
為企業(yè)制定一項PKI的業(yè)務(wù)連續(xù)性計劃是十分必要的,而且要考慮企業(yè)的PKI及其所有依賴它的應(yīng)用。隨著云服務(wù)、移動設(shè)備和遠程辦公等新技術(shù)及新模式層出不窮,PKI保護這些新用例的壓力也越來越大,對于其規(guī)模、可用性和安全保障的支持能力變得更加關(guān)鍵。
以下是確保PKI業(yè)務(wù)連續(xù)性的10個注意事項:
1.不要在實施過程中偷工減料
有時在配置MicrosoftCA時一直單擊“下一步,下一步,下一步……”也未免太容易了,但是簡單的錯誤操作可能會使企業(yè)面臨嚴(yán)重的風(fēng)險和服務(wù)中斷。
2.跟蹤到期時間
如果您的根CA在接下來的8到12個月內(nèi)可以續(xù)訂,則應(yīng)該開始適當(dāng)?shù)赜媱澷Y源。如果您的根CA過期,則從它頒發(fā)出的所有證書都將過期。行業(yè)標(biāo)準(zhǔn)做法是在10年后更新根CA,然后在20年后重新設(shè)置密鑰。
3.計劃對根CA的物理訪問
根CA應(yīng)作為PKI信任的基礎(chǔ),應(yīng)保持脫機狀態(tài),與網(wǎng)絡(luò)保持物理隔離,并受HSM(硬件安全模塊)保護。但是,這意味著例行維護任務(wù)(例如發(fā)布證書吊銷列表(CRL))需要多個人員在場。如果遠程HSM持卡人距離根CA服務(wù)器比較遠(而不是幾步的距離),這將變得更加困難。
4.別忘了續(xù)訂
如果CA關(guān)閉,您將無法頒發(fā)新證書,但是,如果您的CRL過期,則所有證書將立即無法使用。這是因為大多數(shù)應(yīng)用都需要根據(jù)CRL或OCSP服務(wù)器檢查證書的有效性。如果他們無法訪問CRL服務(wù)器,或者CRL本身已過期,則用戶將無法訪問其應(yīng)用。
5.留出足夠的CRL重疊
涉及CRL時,有三個時間點很重要:發(fā)布時間、過期時間以及兩者之間的重疊時間。請記住,CRL發(fā)布是脫機CA的手動過程。這種重疊的目的是提供時間在舊的CRL過期之前手動推送新的CRL,并避免可用性方面的差距。
6.確保您的CDP可在互聯(lián)網(wǎng)上路由
當(dāng)應(yīng)用在檢查吊銷的證書時,它將從指定的CRL分發(fā)點(CDP)檢索當(dāng)前的CRL。檢索CRL后,通常會對其進行緩存,直到過期為止。如果用戶離開您的網(wǎng)絡(luò),則必須通過Internet可以訪問CDP,以確保設(shè)備在需要時仍可以檢索新的CRL。應(yīng)通過HTTPURL訪問CRL。
7.檢查簽發(fā)CA上的磁盤空間
仔細考慮所有簽發(fā)CA服務(wù)器上是否有足夠的磁盤空間來處理擴展用途。例如,如果為數(shù)以千計的遠程工作人員啟用了SSLVPN證書,則必須確保CA數(shù)據(jù)庫具備存儲證書和審核日志的能力,而沒有延遲問題。
8.確保定期備份
CA備份并非萬無一失,需要定期進行測試。如果您擁有CA數(shù)據(jù)庫的備份但沒有HSM,則無論如何都無法恢復(fù)CA。因此要自動定期進行所有備份,以確保在發(fā)生故障時系統(tǒng)具有足夠的彈性。
9.清單證書
保持內(nèi)部和公共CA頒發(fā)的每個證書的完整清單至關(guān)重要,了解每個證書在哪里以及哪些應(yīng)用程序依賴于它們。如果SSLVPN成為您員工的關(guān)鍵業(yè)務(wù)應(yīng)用,則需要重新評估與這些證書有關(guān)的風(fēng)險。
10.跟蹤證書的到期時間和所有權(quán)
企業(yè)是無法承受因證書過期而導(dǎo)致的應(yīng)用停機或服務(wù)中斷的。但是,如果員工遠程工作,那么追蹤應(yīng)用所有者續(xù)訂證書可能會很困難。因此建立庫存時,請主動監(jiān)視證書,明確職責(zé)并在到期前通知所有者。
企業(yè)應(yīng)當(dāng)進行定期的業(yè)務(wù)連續(xù)性練習(xí),以確保在發(fā)生破壞性事件時能夠快速有效地使業(yè)務(wù)恢復(fù)正常,還應(yīng)當(dāng)檢查對設(shè)施和根CA的正確訪問,并且,所有文檔都應(yīng)該是最新的,并由參與業(yè)務(wù)連續(xù)性工作的所有利益相關(guān)者進行測試和理解。
如果有合法更改的需要,請啟動更改控件以更新文檔,打個比方,可以將它們視為具有生命的文檔,它們的發(fā)展和“成長”旨在維持PKI的正常運行,進而與企業(yè)業(yè)務(wù)連續(xù)性密切相關(guān)。
