在网上运营组织时,数字信任至关重要。大多数企业通过使用公钥基础设施 (PKI) 来确保业务和资产的安全,从而建立数字信任,公钥基础设施使用数字证书来证明身份的合法性和安全性。PKI 是数字信任的基础,但如何确保证书本身的安全呢?
这些证书的信任度是由 CA/B 论坛等数字联盟、一系列用于控制这些证书的协议以及各组织和证书颁发机构(CA)本身对适当的安全管理和最佳实践的保证来建立的。
通过 PKI 维护信任需要适当的密钥管理,以防止证书泄露,但在 IT 和安全团队专注于管理不断增长的证书库存时,这一点有时会被忽视。我们汇编了一些简单的最佳实践,供企业在管理加密密钥时参考。
#1 密钥生命周期管理
#2 算法和密钥大小
#3 安全存储
#4 密钥访问控制
#5 密钥转动
#6 密钥备份和恢复
#7 密钥撤销和终止
#8 密钥审计
8 项密钥管理最佳实践
#1 密钥生命周期管理
与数字证书一样,密钥生命周期管理也很重要。正如证书生命周期管理 (CLM) 确保证书的供应、重新签发和撤销一样,加密密钥也有其工作寿命,也必须进行供应。
确保密钥存储在一个集中的平台上,并将密钥管理解决方案作为密钥安全管理的一部分进行整合。这样既能保护和访问数据,又能防止数据丢失。在这方面,自动化解决方案是最佳实践,因为使用电子表格手动管理密钥不具备可扩展性或集中性,而自动化解决方案可以降低人为错误相关事件的风险。
#2 算法和密钥大小
密钥的安全性与其大小和加密算法的长度直接相关。算法的长度也部分取决于其用途,例如,数字签名的密钥与 SSL / TLS 证书的密钥就不同。
密钥越大,潜在攻击者就越难破解,也就越不容易泄露。自 2015 年起,NIST 建议 RSA(Rivest、Shamir 和 Adleman,他们开发了公钥加密方法)的密钥至少为 2048 位。这被认为是对之前推荐的 1024 位最低密钥的重大更新。
对于大多数使用情况,最佳做法是选择较大的密钥和较长的算法,以防止密钥被破解,降低泄密风险。
#3 安全存储
虽然较大的密钥尺寸可以防止密钥被破解,但仍需要安全存储,以确保不会被不法分子获取。作为一项标准,所有密钥都应存放在密码保险库中,以防止未经授权的访问。
#4 密钥访问控制
访问控制与钥匙的安全存储是相辅相成的,因为虽然你希望你的钥匙可以被访问,但你只希望授权用户可以访问它们。钥匙的广泛访问权限只会增加钥匙落入坏人之手并造成数据泄露的可能性。
加密密钥应具有有限的可访问性,以确保管理和使用密钥者的责任。这样做还可以在密钥泄露时对密钥的访问进行追踪,并在总体上提供有限的密钥访问权限,以加强数据的安全性和完整性。
#5 密钥转动
为每个密钥指定专门的加密期非常重要。在密钥生命周期管理方面,企业应该实施一种解决方案,让你可以轻松为每个密钥设定有效期,并按需轮换使用。密钥使用时间越长,其被泄露的几率就越大。同样,在多个加密流程中使用一个密钥也会增加其被泄露的几率。
#6 密钥备份和恢复
密钥有时可能会丢失,但不一定会泄露,因此备份密钥至关重要。发生这种情况有多种原因,例如存储机制损坏或失效,这可能会导致数据丢失,并在密钥不再可访问时产生潜在漏洞。
#7 密钥撤销和终止
密钥终止、撤销和更新是密钥生命周期管理的重要组成部分。与密钥轮换和有效期一样,重要的是要能方便地更新加密密钥,从而降低它们被泄露的可能性。
在密钥撤销和终止方面,如果密钥被泄露,快速便捷地完成这项工作也很重要。如果发生数据泄露,你必须能够迅速采取行动,将密钥下线,并撤销任何未经授权使用密钥的访问权限。
#8 密钥审计
审计是任何安全规划的重要组成部分,而对于加密密钥的维护,最好是维护每个密钥的历史记录。这包括保存审计日志,详细记录密钥从创建、使用、更新到删除或撤销的历史。
有些密钥管理解决方案允许按计划进行报告,这有助于清楚地了解每把密钥的历史。这也有助于在发生泄密事件时做出快速反应,用户可以迅速找到被泄露、丢失或过期的密钥,并在人员变动或行业要求不断变化的情况下保持密钥管理的连续性。
通过加密密钥管理维护信任
当务之急是确保加密密钥的保护和安全--如果密钥泄露且未及时撤销,可能会危及业务安全并导致事故。
加密密钥是 PKI 安全的基础,因此企业必须将密钥管理和安全作为其整体安全战略的优先事项。维护密钥安全是企业确保数字信任和保持业务连续性的当务之急。最终,密钥管理的最佳做法是与值得信赖的证书颁发机构合作,实施安全的自动化解决方案,促进密钥的安全存储和管理,以及备份、恢复、访问控制和轮换。
在我们的数据表中了解证书自动化管理器如何帮助您进行正确的密钥管理
编者注:本博客最初发布于 2021 年 12 月,后经审核,以确保内容符合行业标准、法规和见解。
