作为企业IT的核心,PKI是用于保护敏感数据和跨多个关键业务应用连接的基本工具,是目前网络安全建设的基础与核心。实际上,当前的PKI平均支持超过8种不同的应用,从面向客户的网站和服务到专用网络和VPN访问。但是,如果PKI运用不当,则会给企业造成严重的中断和应用宕机。
为企业制定一项PKI的业务连续性计划是十分必要的,而且要考虑企业的PKI及其所有依赖它的应用。随着云服务、移动设备和远程办公等新技术及新模式层出不穷,PKI保护这些新用例的压力也越来越大,对于其规模、可用性和安全保障的支持能力变得更加关键。
以下是确保PKI业务连续性的10个注意事项:
1.不要在实施过程中偷工减料
有时在配置MicrosoftCA时一直单击“下一步,下一步,下一步……”也未免太容易了,但是简单的错误操作可能会使企业面临严重的风险和服务中断。
2.跟踪到期时间
如果您的根CA在接下来的8到12个月内可以续订,则应该开始适当地计划资源。如果您的根CA过期,则从它颁发出的所有证书都将过期。行业标准做法是在10年后更新根CA,然后在20年后重新设置密钥。
3.计划对根CA的物理访问
根CA应作为PKI信任的基础,应保持脱机状态,与网络保持物理隔离,并受HSM(硬件安全模块)保护。但是,这意味着例行维护任务(例如发布证书吊销列表(CRL))需要多个人员在场。如果远程HSM持卡人距离根CA服务器比较远(而不是几步的距离),这将变得更加困难。
4.别忘了续订
如果CA关闭,您将无法颁发新证书,但是,如果您的CRL过期,则所有证书将立即无法使用。这是因为大多数应用都需要根据CRL或OCSP服务器检查证书的有效性。如果他们无法访问CRL服务器,或者CRL本身已过期,则用户将无法访问其应用。
5.留出足够的CRL重叠
涉及CRL时,有三个时间点很重要:发布时间、过期时间以及两者之间的重叠时间。请记住,CRL发布是脱机CA的手动过程。这种重叠的目的是提供时间在旧的CRL过期之前手动推送新的CRL,并避免可用性方面的差距。
6.确保您的CDP可在互联网上路由
当应用在检查吊销的证书时,它将从指定的CRL分发点(CDP)检索当前的CRL。检索CRL后,通常会对其进行缓存,直到过期为止。如果用户离开您的网络,则必须通过Internet可以访问CDP,以确保设备在需要时仍可以检索新的CRL。应通过HTTPURL访问CRL。
7.检查签发CA上的磁盘空间
仔细考虑所有签发CA服务器上是否有足够的磁盘空间来处理扩展用途。例如,如果为数以千计的远程工作人员启用了SSLVPN证书,则必须确保CA数据库具备存储证书和审核日志的能力,而没有延迟问题。
8.确保定期备份
CA备份并非万无一失,需要定期进行测试。如果您拥有CA数据库的备份但没有HSM,则无论如何都无法恢复CA。因此要自动定期进行所有备份,以确保在发生故障时系统具有足够的弹性。
9.清单证书
保持内部和公共CA颁发的每个证书的完整清单至关重要,了解每个证书在哪里以及哪些应用程序依赖于它们。如果SSLVPN成为您员工的关键业务应用,则需要重新评估与这些证书有关的风险。
10.跟踪证书的到期时间和所有权
企业是无法承受因证书过期而导致的应用停机或服务中断的。但是,如果员工远程工作,那么追踪应用所有者续订证书可能会很困难。因此建立库存时,请主动监视证书,明确职责并在到期前通知所有者。
企业应当进行定期的业务连续性练习,以确保在发生破坏性事件时能够快速有效地使业务恢复正常,还应当检查对设施和根CA的正确访问,并且,所有文档都应该是最新的,并由参与业务连续性工作的所有利益相关者进行测试和理解。
如果有合法更改的需要,请启动更改控件以更新文档,打个比方,可以将它们视为具有生命的文档,它们的发展和“成长”旨在维持PKI的正常运行,进而与企业业务连续性密切相关。
