告別手動操作 自動化技術提升PKI可用性
公鑰基礎設施(PKI)證書一直以來都被當成Web服務器和物聯(lián)網(IoT)防護的最佳辦法。過去,PKI的部署和更新工作需要IT人員手動操作,耗時耗力。如今,可以利用工具自動化這些過程,讓網絡、設備與用戶之間的連接防護工作更簡單高效進行。
證書可用于加密靜態(tài)數據。PKI還可以驗證用戶、系統(tǒng)和設備而無需令牌、口令策略或其他由用戶提供的驗證因素。在互動身份驗證場景中,證書可唯一地標識設備,強化授權過程并保護設備對設備的通信。因此,證書確保了傳輸的數據或消息都不會被篡改。
企業(yè)面臨的挑戰(zhàn)就是確定到底該保護哪些資產,尤其是在越來越多的公司都開始擁抱IoT趨勢的情況下。PKI可以確保所有設備的數據機密性、完整性和可用性基本安全要求都得到恰當的配置。
但該工作如今基本上不可能通過人工過程來實現,因為上線設備的數量實在太多了。到2020年,將有超過250億臺設備接入互聯(lián)網,而這么多設備的連接都必須受到保護以防止公司和個人受到惡意攻擊。
我們不妨跟10年的情況來做個類比。在10年前,證書頒發(fā)機構(CA)為整個互聯(lián)網頒發(fā)的數字實體身份驗證證書大約有1000萬個。今天,僅僅1家公司可能就需要1000萬個證書來認證其設備和服務。所需證書的數量增長可謂指數級。于是,證書的產生和頒發(fā)就開始變得復雜了。
畢竟,PKI就是在數學基礎上產生的,利用算法來指導對簽名的驗證,保護設備和網絡間數據共享及通信的安全。幸運的是,算法愈趨復雜的同時,技術也在進步,現代電腦可以處理驗證設備或網站鏈接安全性所用的復雜算法。
但是,針對這些系統(tǒng)的網絡攻擊也變得更加先進了,而且攻擊越來越頻繁。所以,有效利用PKI的一個關鍵方面就是根據威脅情況的變化適時調整并更新這些證書。換句話說,PKI不是一旦設置就可以再不用管的,今天的威脅態(tài)勢下,PKI的使用需要持續(xù)而周全的安全計劃。很多時候,云服務提供商會僅僅因為某人忘了更新證書而遭遇系統(tǒng)宕機的悲劇。而這一切都是源于證書更新過程是手動而非自動化的。
因此,讓PKI可用性更高的方法之一,就是與引入了自動化技術的CA合作,卸下IT人員身上的人工維護負擔。IT人員和用戶不用擔心這會“破壞”什么東西,因為他們不用注意正確的討論組或新攻擊動態(tài)。
開發(fā)環(huán)境中引入自動化的PKI也很有用,因為開發(fā)人員需要經常性地提交和拉取代碼。PKI可以讓每位開發(fā)者簽署自己訪問的東西,創(chuàng)建信任鏈。開源項目和公司下載站點也可以利用PKI防止網站被劫持或淪為DNS攻擊的受害者。
如果公司企業(yè)計劃采用PKI,有必要同時納入自動化可提供的種種優(yōu)勢。與CA合作的好處就體現在這里。CA負責管理PKI,參與到論壇和工作組里,確保PKI能適應不斷變化的威脅態(tài)勢。這可以讓公司企業(yè)從此類責任中解脫出來,專注到他們的戰(zhàn)略性業(yè)務目標上。
責任編輯:任我行