网络安全宣传月安全团队需要知道的关于PKI的九件事

作为网络安全意识月的一部分，Keyfactor重点介绍了团队如何适应组织中管理证书和机器身份的日益升级的挑战。

直到最近，公钥密码学一直是一个相当小众的实践。然而，随着远程工作、云计算和物联网设备的出现，证书的数量和普及程度都出现了爆炸式增长。

这种日益增长的脆弱性正成为恶意行为者青睐的攻击载体。与此同时，企业陷入了困境，争相评估整个组织的证书状态，并实施保护和管理证书的长期政策。

Keyfactor的《2022年机器身份状态报告》显示，企业平均拥有269,562个公共和私有证书。

当将管理公开密钥基础设施(PKI)添加到您的团队的主要职责中时，这是一项艰巨的任务。为了有效地管理和扩展PKI，安全团队需要知道很多事情——这就是为什么我们列出了您应该考虑的9件事情。

1. 可见性是关键，你的团队可能没有他们认为的那样的洞察力。

Keyfactor和Ponemon在2021年发布的一份报告显示，50%的公司不知道自己到底有多少密钥和证书。在Keyfactor的2022年机器身份状态报告中，获得所有证书的完全可见性是PKI和证书管理的首要任务。

这是PKI扩展的症状——不同的团队使用不同的证书颁发机构(平均21个)，没有集中的中心来跟踪和管理证书。为了增加复杂性，许多组织没有在整个企业中建立明确的PKI所有权。

实现一个证书生命周期管理解决方案就是答案。Keyfactor Command是一个证书生命周期管理和自动化解决方案，它可以作为服务部署，也可以与云托管的私有PKI(称为PKI as-a- service)结合。无论选择何种部署方式，您都能够快速发现和管理环境中的现有证书，然后随着业务需求的增长扩展PKI操作。

2. 管理PKI是一项全职工作。

许多IT和安全团队有太多其他优先级，无法将PKI管理纳入他们的日常职责。在一天结束的时候，其他的职责对他们的角色本质来说更重要。PKI将在维护系统、响应事件和调查警报方面处于次要地位。根据Keyfactor的2022年机器识别状态报告:

• 65%的企业担心由于TLS证书寿命缩短而导致的工作负载增加和中断风险。

• 50%的人说他们没有足够的IT人员专门负责他们的PKI。

• 33%的组织将时间和预算不足列为采用企业级PKI管理策略的最大挑战。

与此同时，证书的寿命正在缩短，以使企业免受证书泄露或被盗的威胁。自2020年以来，398天一直是证书的普遍使用寿命。然而，许多认证机构正在采用90天的有效期。

这些有效期将继续缩短，这意味着证书将以更高的频率过期，这将增加没有可靠系统管理PKI的组织所面临的风险。如果没有足够的PKI资源，维护过期证书的代价将越来越高。

3.管理PKI需要特定于PKI的专业知识。

“好吧，”您想，“我们只需创建一个内部PKI团队，由我们现有的IT和安全分析师组成。”

组织经常把PKI推给以前管理PKI经验有限(有时甚至没有)的人员。尽管您的IT和安全技术人员可能很有能力，但在不断变化的PKI环境中，他们是从零起点开始的。

• 围绕PKI的变化和不确定性水平是采用企业级PKI管理策略的最大挑战。

• 缺乏技术人员是采用全企业战略面临的第二大挑战。[Keyfactor 's 2022年机器识别状态报告]

学习曲线太陡，风险太高，不能把您的PKI交给任何在PKI领域没有经验和知识的人。

要使PKI正确，首先要从设计开始。然而，有大量的PKI设计方面，一旦配置，在没有完全重新部署的情况下是无法更改的。这些严格的方面对PKI的长期使用有重大影响。

4. 手工流程使PKI不可能有效地扩展。

专用的PKI人员和资源正变得至关重要。如果PKI必须落到负有其他重要责任的IT和安全专业人员手中，组织必须努力尽可能减少PKI管理的复杂性。

在任何环境中，手工过程都是现代化、规模和转换的敌人。在PKI上下文中，手工处理加上缺乏PKI专业知识会导致灾难。

• 手动请求、生成和部署新证书的过程是非常繁琐的，尤其是在不熟悉PKI的情况下。

• 42%的组织仍然使用电子表格来跟踪和管理证书。然而，电子表格不能在证书到期或即将到期时通知您，也不能标记手动数据输入带来的错误。

• 手工过程使自己适合于团队的特别的、不一致的使用。这种标准化的缺乏使得推动和扩展最佳实践非常困难。

• 当漏洞被发现时，迅速采取行动替换证书是至关重要的，但是手动过程使其无法以必要的速度进行响应。在发生CA妥协的情况下尤其如此，因为这需要大量颁发新证书。

自动化就是答案。使用集中的PKI管理平台，您不必照看您的证书。从持续监视和自动警报到API集成，再到允许终端用户执行自己的证书流程，自动化PKI流程是实现规模的关键。

5. 正确的PKI管理对于现代运营需求至关重要。

远程工作、物联网、DevOps——传统的网络边界已今非昔比。团队成员需要安全访问系统和应用程序，以支持他们的工作流程。在远程工作和物联网方面，保护设备安全的挑战在于一系列不受你控制的新条件和因素。如果有人在远程工作，他们访问您的服务器的设备和网络可能在安全方面不合格。对于物联网设备，设备必须连接到服务器来验证所有权，无论它在哪里被激活。

对于DevOps来说，最重要的是规模和速度。上面描述的手工PKI流程对DevOps的发展势头和实现CI/CD提出了重大挑战。精简、高效的PKI可以加快开发周期，同时提高质量——而不牺牲安全性。

6. 加密敏捷性正变得不仅仅是一种美好的拥有。

无论您现在的安全姿态有多强硬，它都会随着时间的推移而恶化。新技术和新威胁层出不穷。只要有足够的时间，任何安全实现都会失败，没有任何单独的加密方法是无敌的。

业务敏捷性意味着以最小的中断快速适应的能力。在PKI上下文中，加密敏捷性意味着您的企业可以在不破坏整个IT或安全基础设施的情况下发展其PKI流程。加密敏捷性允许组织在漏洞被破坏、破坏或遵从性惩罚暴露之前保持领先。

敏捷性和适应性创造了可持续性—一个持久的PKI体系结构，它可以随您的企业一起成长，与不断提高的法规遵从性保持同步，甚至有助于创新活动。

7. 好的PKI从设计开始。

围绕PKI的用例和数量的激增需要一组新的最佳实践。当从一开始就实现时，这些实践可以保持PKI的完整性，并避免以后进行破坏性的重新部署。

有了PKI，就不需要在进行过程中进行虚构了。在迈出第一步之前，您需要有一个深入的路线图。

• PKI在您的组织中是如何使用的?未来需要如何使用它?

• 在您的组织中，在证书的整个生命周期中管理证书的最佳策略和过程是什么?

• 您将实施什么控制来支持这些策略和过程?

• 您将如何捕获、解释和记录计划和PKI的更改?

用良好的设计建立PKI只是一个开始。PKI需要大量的注意和维护才能保持功能。这对于专注于实现PKI但不专注于无限操作它的安全团队来说是有风险的。

8. 审计、审计、审计。

在内部管理PKI时，您需要在您的PKI实践中构建定期审计。审核应该包括对所有PKI组件的证书策略和证书实践声明(CP/CPS)、业务连续性和灾难恢复计划中列出的所有内容进行审查和测试。如果有合理的变更需求，启动变更控制以更新任何文档。把它们看作是活的、呼吸的文档，它们的发展是为了维护PKI预期的保证级别。

安排和执行自己内部审计的组织可以定期且容易地识别问题，回答外部审计师的问题，并提供所需保证水平的证明。PKI所有者还应该根据当前和新兴的标准(包括CA/浏览器论坛、WebTrust和行业监管机构)来监视和基准测试他们的企业PKI控制。这有助于组织走在可能导致PKI缺陷的趋势的前面。另一个最佳实践是每年进行一次PKI运行状况检查，以发现组织可能没有考虑到的任何内容。

9. 您可以解决PKI，并将其从您的安全团队的盘子中移除。

在内部设计、实现、维护和发展PKI所需的资源成本高昂，技术壁垒很高，特别是在当前网络安全劳动力短缺的情况下。

那么，如何正确地处理PKI实现、管理企业中证书的大量涌现，以及在面对快速变化的环境时通过可见性、可追溯性和自动化来扩展PKI呢?

具有深厚PKI专业知识的合作伙伴可以为您提供实现和操作您自己的内部PKI的交钥匙解决方案，或者他们可以作为白手套服务提供全面的PKI管理。

需要帮助推进网络安全工作?

PKI管理不足的风险只会增加，但复杂性并不一定会增加。Keyfactor帮助公司(包括那些资源不足的团队)保护多云企业、DevOps和嵌入式物联网安全的每个数字密钥和证书。点击这里了解我们提供的更多信息，包括我们的云PKI-as-a-Service如何为每个组织提供与网络安全专家精英团队的联系。