GlobalSign 博客

关于内部 CA 的3个误区以及为什么您应该重新考虑使用它们

PKI是任何强大安全态势的基础,但组织必须确保其使用公钥基础结构(PKI)颁发的数字证书也来自受信任的来源,并具有强大的安全基础。

为了方便起见,一些组织选择运行自己的内部或私有证书颁发机构(CA),而不是与公众信任的基于云的CA合作。但是,内部CA提供的便利性(例如节省成本和易于集成到现有基础设施)并不能描绘出全貌,并且可能具有误导性。以下是组织倾向于选择内部CA的主要原因,以及为什么您的组织应该重新考虑使用它们来满足您的安全要求。

1.    节省成本

成本节约是组织选择内部和私有CA而不是像GlobalSign这样公开信任的证书颁发机构的最常见误区之一。通常有人认为,对于可以更轻松、更实惠地签署证书的企业来说,公共CA的服务将花费更多。

然而,这种情况很少发生。俗话说,一分钱一分货。使用内部或私有CA通常不太安全,涉及违规行为的企业可能会发现自己支付的费用远远超过购买公众信任的CA服务的初始成本。

公共CA将具有敏捷性和专业知识,以跟上数字市场中不断发展的安全威胁,并遵守区域和行业标准的法规遵从性。

此外,还存在与私有CA相关的其他成本。内部CA仍需要维护人员配备人员和硬件安全模块来存储证书根。证书生命周期管理(CLM) 和验证服务(如更新和维护证书吊销列表(CRL)、运行联机证书状态协议(OSCP)服务以及执行CA安全和策略审核)都需要时间、资源和适当的专业知识。

在所有这些之后,运行私有CA所节省的成本充其量是微不足道的,而且只有在没有发生违规行为的情况下,这仍然可能发生。通过与GlobalSign等值得信赖的CA合作,组织可以确保他们获得自信和有保证地管理其安全基础设施所需的专业知识和解决方案。

Read our eBook for a full picture of the costs of running a private CA

2.    易于集成

内部CA通常似乎对组织很有吸引力,因为据称由于可自定义的组策略和与其Active Directory集成的能力,它们很容易与当前系统集成。

然而,这是误导性的。与与公众信任的CA合作时,内部CA通常需要更多地关注初始设置。私有CA的初始设置(包括使用Active Directory进行配置)需要PKI和网络安全方面的专业技能集。不仅如此,它还需要正确的硬件来运行CA、对安全基础设施进行定期审计以及内部IT团队的持续维护,他们可能会牺牲本可以用于其他项目的时间和资源。

问题是,对于组织来说,内部或私有CA与其Active Directory集成或配置并不一定比与公共CA合作时更容易。GlobalSign的证书自动化管理器等解决方案是完全自动化的,可与现有系统集成,并可灵活地配置组织策略。

与公众信任的CA合作,使组织能够通过提供确保组织基础设施安全所需的专业知识和易于集成的解决方案来进一步扩展其资源。

3.    内部证书的内部CA

公众信任是与证书颁发机构合作的主要原因。PKI帮助组织保护面向公众的资产,例如使用SSL/TLS来保护网站和服务器,或 文档签名解决方案 ,以确保文档的保护。但是,这并不意味着组织不需要公开信任的CA来保护内部资产,例如专用网络或电子邮件通信

无论您是将证书用于内部还是外部目的,与GlobalSign等公共CA合作对于保护业务通信和维护组织内数字安全的最佳实践仍然至关重要。

在内部业务安全方面,使用内部或私有CA时无法满足某些需求。组织应考虑以下原因与公共CA合作以满足其安全需求:

  • 无可比拟的安全性和专业知识:公共信任不仅适用于公共证书。这意味着您的组织也可以对资产和数字通信的安全性充满信心。不仅如此,公共CA还可以就如何跟上PKI市场的变化、与不断发展的技术和网络安全威胁保持同步,并就满足业务需求的最佳解决方案提供建议。
  • 保持合规性:公共CA提供的解决方案已经满足行业和区域标准和要求,因此与公共CA合作还将确保组织能够保持对GDPR和eIDAS等标准的遵守,从而降低罚款和组织声誉受损的风险,如果您的组织成为违规的受害者。
  • 成本效益:虽然使用内部或私有CA来满足安全需求乍一看似乎很诱人,但考虑到这样做所需的专业知识和资源,组织维护它们既昂贵又费力,同时也不能保证防止违规。公共CA为保护数字通信提供经济高效的解决方案,手头已经拥有将解决方案与业务需求相匹配的专业知识,并且通过公众信任可以降低违规风险并跟上新的和不断变化的安全威胁。
  • 高效的解决方案:使用内部或私有CA时,组织必须花费时间和资源来配置其Active Directory并自行管理证书生命周期。对于IT人员和安全团队来说,手动执行此操作是一项繁重且耗时的任务,并且会将资源从其他关键项目和任务中抽离出来。公共CA提供了许多解决方案,这些解决方案已经构建和审查,以确保证书生命周期管理(CLM)的高功能、安全性和合规性维护,例如证书清单、ACME协议证书自动化管理,以减少在维护PKI安全性时对人为干预的需求。

与公众信任的CA合作,使组织能够保护其基础设施,不仅成本低于私有CA,而且还能获得更大的支持、效率以及专业知识和经验,以跟上PKI市场内的合规性、行业变化和发展中的安全威胁。GlobalSign的证书自动化管理器等自动化解决方案减少了对IT干预的手动需求,从而减轻了证书生命周期管理的压力,这是私有或内部CA无法做到的。

关于私有CA的成本效益和易于集成的神话并不在全貌中,组织应该认真重新考虑他们保护内部通信、数据和资产的能力。组织应考虑与公众信任的CA,如GlobalSign,合作将是确保业务安全的最有效解决方案。

开始保障您的未来:立即阅读我们的《超出预算》电子书

近期博客