加入PKI自动化派对
证书生命周期管理(Certificate Lifecycle Management,简称CLM)和公钥基础设施(Public Key Infrastructure,简称PKI)这两个术语,即使是最老练的IT老手也会对它们刮头刮脑。在GlobalSign,我们知道这是真的,因为我们定期讨论CLM和PKI,我们一直看到它。PKI是我们所做的——如果我们诚实地说,我们在鸡尾酒会上很糟糕,但就像面对一个痴迷于案件的律师或一个过于书卷气的会计师一样——这就是我们擅长我们所做的事情的原因。
此外,我们并不是要求参加您的派对,我们是来帮助您简化和自动化您的PKI -就像我们已经做了25年那样。
每个人都想在一定程度上自给自足。但如果你的车出了问题,你就叫修理工。在我们职业生涯的早期,我们可能会尝试自己交税,但当我们的财务变得更加复杂时,我们会找一个会计师。
公钥基础设施(PKI)从未像现在这样被广泛使用,也从未像现在这样复杂。那么,为什么一个组织,尤其是一个企业,要试图独自管理它呢?知道什么时候寻求专业知识是至关重要的。
GlobalSign的自动注册网关(AEG)是一个证书生命周期自动化的万能工具,可以覆盖组织的整个网络,到任何需要数字证书的端点,并自动化管理其整个生命周期。
现在,我们意识到这是一个非常糟糕的连写句子,有很多东西需要解释。因此,在这篇博客中,我们将讨论PKI环境的变化状态,这将对组织产生的影响,并更详细地了解AEG——包括它如何使组织的网络更安全、高效和敏捷。
PKI的现状
当我们说PKI从未像现在这样杠杆化和复杂化时,我们的意思是说组织从来没有像现在这样需要管理更多的数字证书。
最常见的PKI用例是SSL/TLS。现在,每个想要被现代web浏览器访问的网站都需要由公开可信的证书颁发机构(public -trusted certificate Authority, CA)颁发的SSL/TLS证书。除了web服务器和客户端之间的安全连接,PKI还可以用于:
- 加密和认证电子邮件
- 对文档和代码进行数字签名
- 用于多因素认证
- 验证员工和机器身份
- 确保内部网络连接安全
- 方便以智能卡登入
考虑到2019冠状病毒病后我们的工作方式——越来越多地在远程和混合工作环境中开展工作,PKI正迅速成为数字工作场所的支柱,帮助确保网络访问安全,同时促进多种情况下的身份验证和加密。除此之外,还有两个主要的外部因素推动了当前PKI证书使用的爆炸式增长。
缩短证书有效期
CA/Browser论坛确定了所有公开可信CA必须遵循的基线要求。它由几个工作组组成,不断寻求提高数字证书的安全标准。在过去的十年里,由于各种各样的安全事件,以及人们对证书中包含的信息在多长时间内可以被信任的担忧,这些证书的寿命或有效性稳步降低。这些变化从SSL/TLS证书开始,在应用到其他证书类型(如S/MIME和代码签名)之前,其有效期已经减少到397天(13个月)。如今,最好的做法是每年至少更换一次数字证书,许多组织选择每六个月更换一次。
显然,更短的有效期意味着签发新证书来替换旧证书的任务频率增加,并在所有必要的端点安装新证书。每隔几年做一次已经是一种负担,每年做一次会给it人员增加大量的工作量,特别是在一年中的日期交错的情况下。
扩展密钥用法
扩展密钥使用(Extended Key Usage, EKUs)是CA/B论坛一直在完善的另一个领域。用最简单的话来说,EKUs指的是给定密钥或证书对可以执行的加密功能类型。在过去,组织可以向可以执行多种功能的员工颁发数字证书。例如,您可以使用它们来执行客户端身份验证,签名和加密电子邮件,以及签名文档。不幸的是,拥有多个eku带来的便利,也带来了风险。当一个被泄露的密钥被用于多个目的而不仅仅是一个目的时,它会变得更加危险。因此,今后,各种CA/B论坛工作组将强制要求每个证书只有一个EKU。
在实践中,这意味着当新员工加入公司时,你不能仅仅给他们颁发一个多功能数字证书。您将需要使用适当的EKU签发三个不同的证书。
更复杂的是……
你的IT团队可能没有足够的带宽或专业知识来管理大规模的PKI
目前,网络安全行业存在着重大的技能缺口。(ISC)2公司2023年的一项研究发现,网络安全人才的短缺在2022年增加了26%。如果你的组织是43%积极寻找IT/网络安全人才的组织之一,那么你会敏锐地意识到这一点。
安全团队一直在超负荷工作,根据Gartner的数据,平均每家企业都在运行和管理50-70个不同的项目,而随着企业迫切需要人才,PKI已经成为一种“喜欢的”技能,而不是“需要的”技能。但这并不能改变PKI对日常运营至关重要的事实,而且工作量只会随着组织的增长而增长。根据(ISC)2的研究,寻找和雇用优秀的安全人才是困难的,但留住他们也是困难的。
如果你不能自动化证书管理,减少工作量和乏味,你可以在你的IT办公室安装一个旋转门,因为安全人员离开的首要原因是太多乏味的电子邮件和任务。
-
但除此之外,还有……
管理自己的PKI的成本因素
除了我们刚刚讨论的工作量增加和很难找到合适的人员来管理所有这些问题之外,还有管理自己的PKI所需的成本问题。但这是另一个话题了,所以我们写了一整本关于它的电子书——为什么不看看下面呢?
阅读此电子书
AEG是一个证书自动化引擎
现在我们已经找出了问题,让我们谈谈解决方案: AEG.
自动注册网关连接到组织的活动目录,并使用一系列协议和集成,以及各种移动设备管理(MDM)平台,扩展到整个网络并管理所有端点的数字证书。
终端包括:
- 客户端和机器标识
- 安全电子邮件证书(S/MIME)
- 数字签名
- SSL/TLS
- 多因素认证 (MFA)
- 钥匙卡
一切都通过易用的仪表板进行管理,在仪表板上,网络上每个端点的整个证书生命周期都可以通过脚本进行监控。
AEG由GlobalSign的数字身份平台Atlas提供支持,旨在为您提供灵活的专用中间根证书颁发私钥证书,或颁发公开可信的数字证书-这是直接与可信CA合作的最大原因之一。GlobalSign拥有超过25年的PKI经验和全球数字签名的领导者,可以提供证书。其他第三方供应商可以提供一个管理数字证书的框架,但你仍然需要CA管道来颁发它们,特别是SSL/TLS和S/MIME。这增加了成本和复杂性。
AEG不仅提供了管理数字证书组合的框架,它也是一个管道。
更重要的是,我们很自豪地宣布我们刚刚发布了7.9版本!
AEG 7.9有什么新功能?
现代组织机构面临的最大挑战之一是自带设备(BYOD)。越来越多的员工使用移动设备、平板电脑、个人电脑等接入公司网络。虽然许多公司都有严格的政策来防止这种情况发生,但它正变得越来越难以维持。
在AEG 7.9中,我们现在完全集成了Microsoft InTune,允许在移动设备上使用密钥和证书。这意味着员工可以安全地访问网络资源,并在他们的移动设备上读取加密的电子邮件,而无需添加更多证书。在之前的版本中,我们已经集成了JAMF,使AEG具备了在任何移动设备上管理数字证书的能力,无论是iOS、Android还是Windows。
此外,我们还改进了用户体验,并通过添加定期计划的报告为管理员提供了更好的PKI实现可见性。虽然已经可以通过仪表板进行手动报告,但现在可以通过脚本定期运行报告,并将其发送给相关的管理员。
AEG拥有为管理您的PKI提供强大支持的工具,自动化从未如此迫切地需要。自动化PKI为组织节省了相当大的成本,减少了工作量,提高了密码的灵活性和安全性。最重要的是,您正在与GlobalSign合作,GlobalSign是全球PKI的领导者,公开可信的CA,合格的信任服务提供商。
还不相信吗?
或者联系我们,告诉我们你需要做什么,我们会告诉你AEG如何帮助你做到这一点。
取得联系
