博客 > 中小企业如何构建可扩展PKI(公钥基础设施)| 访谈
浏览量:3656次评论:0次
作者:Claire时间:2019-09-04 12:09:14
中小企业如何构建可扩展的PKI?在这篇访谈中,DigiCert高级PKI架构师Darin Andrew将为您解答,构建可扩展的PKI时首先要考虑的三大问题。
你认为公司目前拥有的技术能满足未来5-10年的安全需求吗?绝大多数人的答案都是否定的。根据IDG Research Group的调查,仅有27%的企业信息安全决策者对公司目前的技术十分自信,认为其能满足公司未来发展的安全需求。
考虑到如此多的安全专业人士对已有的安全技术缺乏信心,因此Digicert专门采访了其高级公钥基础设施(PKI)架构师Darin Andrew。Darin每天与客户接触,指导企业该如何建立安全系统,使得其不仅对拥有的技术有信心,对系统、程序和人员也感到自信。
此次采访Darin,请教了他关于PKI的高级概述,通常使用PKI的主要方式,以及中小型企业如何构建企业级的PKI等问题。以下是采访内容。
Q:Darin,我刚被聘用为公司的工程主管。管理层希望我能增强公司网络安全性,我该从哪里着手?
DA:首先,你需要知道所有证书是否在同一个账户下订购的。想象一下如果证书不是在同一个账户下订购的,这会产生多么严重的影响。你如何能够获取有关过期证书和其他账号订购的证书数量的可靠报告?即使只是出于流程的目的,你如何判断是否该签发某张证书?你能通过什么报告知道其他账户订购的证书是应用在哪些域名上呢的?
因此,先把所有证书都放到同一个账户下,并配备监督人员进行PKI管理,如PKI管理员或专门的团队。同时需要一个主管对团队进行监管,确保团队采取的是正确的做法。
Q:好的,现在我所有的证书都在同一个账户下订购了,接下来该怎么做呢?
DA:接下来,对每一个即将过期的证书进行跟踪。如果你已经合并到一个账户,并能获取关于即将到期的证书的可靠报告时,你需要安排人员对30天,60天或90天内即将到期的证书进行跟踪。他们需要找到证书对应的服务器,并且及时申请新证书。公司最不想看到的事情是证书过期导致的服务中断,所以对公司来说这是个真正的问题。
Q:所有证书都在同一个账户下订购,并安排人员对即将过期的证书进行跟踪后,现在该做什么?
DA:如果是我,我会关注多因素验证(MFA),以便保护网络安全中最敏感的领域。对大多数公司而言重要的一点是,在VPN中设置多因素验证。此时,黑客如果想入侵,不仅要窃取到用户的密码,还必须拥有用户的物理设备。以DigiCert为例,我们访问敏感资产时使用了双因素验证——有时甚至更多。每家公司都不希望业务的重要领域被遭受攻击。它这可能是公司的wiki,也可能是VPN;关键在于,在标准的用户名和密码之外,还需保护内部信息。
另外,还会使用微软AD Autoenrollment或其他类似SCEP的处理续费的服务,为证书设置注册自动化。在证书过期前,他们会自动获得新的双因素验证证书,这样就不用担心用户的证书过期,。
据InfoSecurity报道,近来,使用MFA的企业数量大幅增长。尽管2015年仅有65%的组织仅在某些级别使用MFA,但是这一数字在一年后增长到了93%。
在全公司范围内使用MFA的企业数量持续增长,从2013年的30%跃升至2014年的36%,再到2016年的51%。
Q:假设以上是企业在使用PKI时需要处理的三大问题,后续具体该如何操作呢?
DA:现在你已经知道这三项对PKI是至关重要的,接下来,你就要考虑如何实现每一项。例如,你将要考虑如何:
总结三大要点:
1. 在一个账户下订购证书
2. 安排专人跟踪将过期证书
3. 在网络最敏感的领域部署双因素验证
相关文章推荐
2024-04-16 14:42:01
2024-04-11 14:22:36
2024-04-08 14:21:01
2024-04-07 15:08:19
2024-04-03 13:46:41
热门工具
标签选择
阅读排行
官方咨询热线:400-002-9968
官方邮箱:business@racent.com
地址:上海市静安区灵石路718号大宁中心广场3期B1栋南楼502室
商务合作:business@racent.com
投诉意见:media@racent.com
关于锐成
联系我们
我的评论
还未登录?点击登录