传统上,IT 基础设施通常位于公司内部或专用数据中心内。管理这些设备和端点非常简单,因为 IT 部门可以直接访问所有设备和端点,而且用户主要在办公室办公。IT 部门对其基础设施内的所有设备进行全面记录,确保了解每台设备的确切位置和状态。所面临的主要挑战是保持这些设备的补丁和更新,而这一任务可以通过基本的管理解决方案进行有效管理。
在这种情况下,数字证书的配置和管理也相对简单。主要的挑战来自于域的数量和组织的地理分布。复杂的组织可能需要多个团队和程序,以确保对所有用户和设备进行适当的证书管理。不过,由于大多数用户都在集中办公环境中工作,配置用户证书仍然是一项易于管理的任务。
勇敢的新世界
然而,在过去的 10-15 年里,世界已经发生了变化,随着具有成本效益的私有云和公共云服务的普及,传统的 100% 内部部署基础设施肯定会被淘汰。我们所采用的是一个广泛的范围,企业混合使用内部部署、公共云、私有云(仅为单个企业运营的云基础设施)和社区云来提供服务、应用程序,并为办公室和远程工作人员提供支持。这种混合基础设施被称为混合云模式--尽管许多人似乎忽视了内部部署服务仍然是解决方案不可分割的一部分。
在云计算中管理虚拟机和证书的挑战
传统的内部硬件虽然在购买、实施和维护方面成本高昂,但也为企业提供了直接的定制、管理、安全和整体控制途径。以前,很容易知道服务器和应用程序的确切位置,因此不太可能失去对它们的跟踪。虽然云计算具有很高的成本效益和灵活性,但其通过不同提供商快速创建虚拟机的便利性导致了虚拟机和资源的蔓延,给跟踪和维护带来了挑战。不同部门、承包商和正在运行的生产应用程序快速创建和删除虚拟机,加剧了这一问题。因此,虚拟机或容器的数量、提供者、运行的服务及其安全状态很容易被遗忘。
在云计算基础设施中管理数字证书虽然很常见,但也存在一些挑战。与传统的基础设施即服务(IaaS)相比,容器化的使用越来越多,这使得识别虚拟机位置变得更加复杂。由于 pod、服务和节点的复杂性,容器化带来了与证书的申请、配置和更新相关的不可预见的管理问题。容器会根据需要快速创建和删除,由于有许多团队和容器在使用,因此在动态环境中确保私钥安全并管理对证书供应、过期和配置的持续需求是一个重要问题。
了解混合云环境的风险
考虑在纯云或混合云环境中管理数字证书时,必须了解以下潜在问题:
- 零散和重复的服务: 通常情况下,将应用程序和服务部署到云中是迁移现有服务或长期创建新建项目的一部分。然而,随着时间的推移,新服务或负载平衡实例可能会由不同的团队通过软件提供商、集成商或专业服务承包商分布在不同地区和区域的多个云提供商上。其中很多都会有自己偏好的云提供商、云技术和流程,从而导致无法管理的分散环境。因此,要保持高度的安全态势,就必须建立一种机制,以自动监控和管理所有这些实例,而不论其位于何处。
- 孤立的团队和承包商: 由于多个团队和短期承包商在创建基于云的应用程序时没有任何通用做法或记录,因此可以从各种证书颁发机构(CA)创建和配置证书,包括自签名证书,但却无法对其进行管理和监控。更糟糕的是,由于没有标准流程和各种手动操作,端点不安全或证书过期的风险很大。
- 延迟自动云扩展: 在许多云环境中,大多数虚拟机,当然也包括所有容器,都是以编程方式创建和删除的,这也是灵活、可扩展的解决方案所要求的。然而,手动申请和配置证书会严重延迟流程,并有效消除自动云扩展的任何好处。手动程序的延迟往往会导致开发人员为了追求灵活性而绕过基本的证书管理实践,使用不受信任的 CA 或自签名证书,从而扩大网络安全漏洞,包括错误配置的风险。
- 缺乏可见性: 即使在单个云提供商的情况下,由于每天都有大量虚拟机和容器被创建和删除,因此几乎不可能追踪到哪里需要证书、证书已被配置、谁是源 CA 以及证书的有效期。这将导致应用程序不安全、中断、安全漏洞和服务中断。合规性将无法对证书进行审计和记录,以确保证书的可信度和有效性,从而导致不合规问题,如加密标准薄弱、使用易受攻击的自签名证书和从未经批准的 CA 获取的证书。
在混合云环境中管理证书
GlobalSign 认为,解决混合云环境中的证书管理问题与内部环境中的证书管理问题并无不同。
我们的 “证书自动化管理器 ”解决方案不仅能让企业自动接收请求并在任何连接的域上提供证书,还能对证书进行跟踪,确保在需要时更新、撤销或更换证书。
无论客户是使用单一域的内部部署,还是在多个域和时区使用多个提供商和云技术的全面开发的混合云基础设施,它都能完全灵活地满足每个客户的需求。
尽管目前还没有 SaaS 版本,但证书自动化管理器可以安装在虚拟机上,甚至不需要内部安装,也不需要与 Active Directory 安装在同一物理环境中。事实上,为了尽可能实现定制化,该解决方案既可以在企业内部实施,也可以混合实施或完全云实施,具体取决于您在云计算之路上所处的位置。
但如果您尚未迁移到云,也不用担心,证书自动化管理器可安装在纯内部部署上,并可在您准备就绪时迁移到混合云或完全云实施。
这样,就能在云平台上配置应用程序和项目,并使用 GlobalSign 证书快速高效地保护它们,而不会有停机或安全漏洞的风险。
无论设备和服务器是物理的还是虚拟的,证书自动化管理器都能对其进行监控和管理。作为完全自动化的证书管理解决方案,我们的解决方案:
- 利用既定政策自动为新设备、服务器、容器或用户提供证书,无需人工干预
- 确保对其进行持续监测
- 允许创建计划报告,以便全面了解证书情况
- 确保采取关键行动,包括更新和撤销证书
- 在快速变化的环境中管理证书,例如在活跃的 IaaS 或基于容器的基础架构中,虚拟机或容器的数量及其对证书的需求不断变化