中小企业如何构建可扩展PKI(公钥基础设施)| 访谈

中小企业如何构建可扩展的PKI?在这篇访谈中,DigiCert高级PKI架构师Darin Andrew将为您解答,构建可扩展的PKI时首先要考虑的三大问题。

你认为公司目前拥有的技术能满足未来5-10年的安全需求吗?绝大多数人的答案都是否定的。根据IDG Research Group的调查,仅有27%的企业信息安全决策者对公司目前的技术十分自信,认为其能满足公司未来发展的安全需求。

考虑到如此多的安全专业人士对已有的安全技术缺乏信心,因此Digicert专门采访了其高级公钥基础设施(PKI)架构师Darin Andrew。Darin每天与客户接触,指导企业该如何建立安全系统,使得其不仅对拥有的技术有信心,对系统、程序和人员也感到自信。

此次采访Darin,请教了他关于PKI的高级概述,通常使用PKI的主要方式,以及中小型企业如何构建企业级的PKI等问题。以下是采访内容。

Q:Darin,我刚被聘用为公司的工程主管。管理层希望我能增强公司网络安全性,我该从哪里着手?

DA:首先,你需要知道所有证书是否在同一个账户下订购的。想象一下如果证书不是在同一个账户下订购的,这会产生多么严重的影响。你如何能够获取有关过期证书和其他账号订购的证书数量的可靠报告?即使只是出于流程的目的,你如何判断是否该签发某张证书?你能通过什么报告知道其他账户订购的证书是应用在哪些域名上呢的?

因此,先把所有证书都放到同一个账户下,并配备监督人员进行PKI管理,如PKI管理员或专门的团队。同时需要一个主管对团队进行监管,确保团队采取的是正确的做法。

Q:好的,现在我所有的证书都在同一个账户下订购了,接下来该怎么做呢?

DA:接下来,对每一个即将过期的证书进行跟踪。如果你已经合并到一个账户,并能获取关于即将到期的证书的可靠报告时,你需要安排人员对30天,60天或90天内即将到期的证书进行跟踪。他们需要找到证书对应的服务器,并且及时申请新证书。公司最不想看到的事情是证书过期导致的服务中断,所以对公司来说这是个真正的问题。

Q:所有证书都在同一个账户下订购,并安排人员对即将过期的证书进行跟踪后,现在该做什么?

DA:如果是我,我会关注多因素验证(MFA),以便保护网络安全中最敏感的领域。对大多数公司而言重要的一点是,在VPN中设置多因素验证。此时,黑客如果想入侵,不仅要窃取到用户的密码,还必须拥有用户的物理设备。以DigiCert为例,我们访问敏感资产时使用了双因素验证——有时甚至更多。每家公司都不希望业务的重要领域被遭受攻击。它这可能是公司的wiki,也可能是VPN;关键在于,在标准的用户名和密码之外,还需保护内部信息。

另外,还会使用微软AD Autoenrollment或其他类似SCEP的处理续费的服务,为证书设置注册自动化。在证书过期前,他们会自动获得新的双因素验证证书,这样就不用担心用户的证书过期,。 

据InfoSecurity报道,近来,使用MFA的企业数量大幅增长。尽管2015年仅有65%的组织仅在某些级别使用MFA,但是这一数字在一年后增长到了93%。

在全公司范围内使用MFA的企业数量持续增长,从2013年的30%跃升至2014年的36%,再到2016年的51%。

Q:假设以上是企业在使用PKI时需要处理的三大问题,后续具体该如何操作呢?

DA:现在你已经知道这三项对PKI是至关重要的,接下来,你就要考虑如何实现每一项。例如,你将要考虑如何:

  • 自动化SSL流程,消除低效率
  • 在私有、公有或混合PKI之间做出选择
  • 在托管或本地CA之间做出选择
  • 使用客户端证书保护和加密电子邮件
  • 遵守安全标准

总结三大要点:

1. 在一个账户下订购证书

2. 安排专人跟踪将过期证书

3. 在网络最敏感的领域部署双因素验证

提交
还没有评论,快来抢沙发吧!
售前
支持
代理
合作
售后
支持