PKI est une infrastructure complète qui prend en charge les certificats de confiance
Alors que de plus en plus d'entreprises mettent en place leur propre infrastructure à clé publique interne (PKI) afin d'économiser de l'argent sur l'achat d'un volume croissant de certificats numériques, le besoin d'outils permettant de centraliser, de contrôler et de gérer les certificats à travers toutes les sources d'émission continue d'être critique. Un outil courant est la gestion des certificats software.
Si la gestion des certificats software aide certainement les organisations à évoluer depuis l'âge de pierre où l'on documente manuellement les détails des certificats dans une feuille de calcul, de nombreuses applications de gestion des certificats ne font qu'effleurer la surface de ce dont les entreprises ont réellement besoin. En d'autres termes, si la gestion des certificats est essentielle pour prévenir les pannes et les violations, la gestion autonome des certificats software n'est pas à des années-lumière des plates-formes qui améliorent davantage l'efficacité des équipes informatiques et de sécurité et aident les organisations à répondre aux exigences de conformité aux réglementations et aux audits.
Les organisations ont besoin de solutions pour surveiller, gérer et protéger non seulement les certificats, mais aussi l'environnement critique PKI sur lequel repose la confiance dans les certificats. La protection de l'infrastructure critique qui alimente la confiance dans les certificats est cruciale.
Avec un environnement PKI comme pierre angulaire de l'émission et de la gestion des certificats d'une autorité de certification (AC) interne, les entreprises ont besoin d'un plus large éventail d'outils de gestion PKI pour protéger et contrôler cet environnement de confiance. Bien que la création d'une autorité de certification puisse sembler simple, l'infrastructure servant de base à la confiance assurée pour l'autorité de certification et les certificats qu'elle émet est un ensemble complexe PKI - composé de hardware, software, de personnes, de politiques et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer chaque certificat.
Le système doit être conçu, déployé, contrôlé et entretenu dans le but d'assurer le niveau de sécurité requis pour des cas d'utilisation spécifiques. Une vulnérabilité, une procédure négligée, une politique ignorée, et l'autorité de certification peut ne plus être digne de confiance, de même que les certificats qu'elle délivre.
PKI : une leçon de protection tirée de l'Étoile de la mort
Remerciements Wookiepedia
L'épisode IV de la Guerre des étoiles nous a fait découvrir la construction de la première Étoile de la mort de l'Empire galactique. Construite comme la clé de la suprématie de l'Empire, l'Étoile de la Mort était une gigantesque station de combat mobile dans l'espace lointain et un destructeur de planètes. Ses caractéristiques de sécurité comprenaient une multitude de protections de haute technologie, notamment une coque en acier quadanium, 758 rayons tracteurs, 15 000 canons turbolasers, plus de 300 000 militaires impériaux et plus de 25 000 Stormtroopers, sans oublier un superlaser capable de détruire une planète entière.
Avec un diamètre de 74,56 miles et 357 niveaux internes, un coût de plus de 1 000 000 000 000 de crédits galactiques et plus de 2 millions d'habitants, l'Étoile de la Mort était un énorme vecteur d'attaque et une cible précieuse que l'Alliance Rebelle devait détruire pour assurer sa survie face à l'Empire maléfique.
Malgré toutes ses protections, l'Étoile de la mort présente des failles. Les plans ont été volés et un petit orifice d'échappement a été oublié - un orifice qui menait au réacteur principal. Luke Skywalker a lancé des torpilles dans cet orifice, faisant exploser le réacteur principal et provoquant une réaction en chaîne qui a détruit la super-arme de l'Empire galactique. La destruction de l'Étoile de la Mort n'aurait pas été possible sans un accès (des plans volés) et une vulnérabilité (le port d'échappement). Certes, l'Alliance rebelle était en fait le "gentil" dans cet exemple, mais elle avait la même motivation que les acteurs malveillants : obtenir l'accès, localiser la faille et attaquer quelque chose de précieux.
Imaginez que l'Étoile de la Mort soit un environnement PKI , chacune de ses caractéristiques (rayons tracteurs, canons turbo-laser, présence militaire ou ports d'échappement) représentant l'un des éléments PKI (hardware, software, personnes, politiques ou procédures). Imaginons également que l'orifice d'échappement de l'Étoile de la Mort soit une procédure PKI et que les réacteurs à hypermatière soient des certificats. L'accès au port d'échappement (procédurePKI ), puis au réacteur (certificat), pourrait être préjudiciable à l'ensemble de l'environnement (PKI).
Que signifie cet exemple pour les entreprises ?
Passons maintenant de la science-fiction à l'économie. Alors que l'armée impériale surveillait la plupart des fonctions de l'Étoile de la mort, elle ne surveillait pas et ne protégeait pas l'environnement dans son ensemble, ce qui a entraîné son effondrement. Il ne suffit pas de s'assurer que les canons laser turbo et les rayons tracteurs sont protégés et fonctionnent. Tous les éléments, y compris les points d'accès sensibles, doivent également être protégés. Il en va de même pour l'environnement PKI . Non seulement les certificats pourraient provoquer une panne ou une violation, mais d'autres éléments de PKI pourraient permettre une vulnérabilité en matière de sécurité. La surveillance de l'ensemble de l'environnement PKI - y compris les certificats - permet de réduire les vecteurs d'attaque disponibles. Un site PKI de confiance a besoin de plusieurs outils de surveillance et de protection.
Ensemble, les éléments du site PKI offrent une protection plus forte qu'un seul élément. Lorsqu'elles envisagent la gestion des certificats software, les entreprises doivent tenir compte d'un cas d'utilisation beaucoup plus large que la simple gestion des certificats. Comment l'outil contrôlera-t-il et gérera-t-il les certificats à travers de multiples AC et cas d'utilisation ? Comment aide-t-il à surveiller les processus, les politiques et les procédures de PKI ? Comment permet-il d'établir des rapports de conformité en matière de sécurité ?
La possibilité de surveiller et de rendre compte de l'état et de la santé de tous les éléments de PKI au fil du temps - au-delà des seuls certificats - améliore l'efficacité de la sécurité et protège les organisations grâce à une veille permanente sur les menaces et à une documentation sur la conformité. Nous conseillons vivement aux entreprises de voir plus grand. Envisagez une plateforme d'outils et de services qui permettent non seulement de gérer les certificats, mais aussi de contrôler l'ensemble de l'infrastructure de clés publiques.
