Ayant le privilège de travailler avec certains des meilleurs, sinon les meilleurs PKI et professionnels de la sécurité dans ce domaine, j'ai appris l'extrême importance des pratiques utilisées pour sécuriser la plateforme de l'autorité de certification (AC) racine. Cela comprend la sécurité au niveau software , la sécurité au niveau hardware et la sécurité physique.
De même, en travaillant sur divers projets et avec de nombreux clients différents, j'ai également eu l'occasion d'entendre des histoires "fascinantes" sur la façon dont certaines entreprises prennent la sécurité de leur autorité de certification racine à la légère. Non, l'autorité de certification racine ne doit pas être stockée dans le bureau de quelqu'un simplement parce que le tiroir est fermé à clé. Ce "vieux" serveur posé dans un rack, non branché à quoi que ce soit, ne peut pas être mis hors service parce qu'il "ne fait rien".
Pour cet article de blog, je voudrais me concentrer sur les aspects de sécurité physique entourant l'autorité de certification racine.
L'autorité de certification racine est l'élément le plus important de l'architecture PKI . Tout ce qui se trouve en aval dépend de sa fiabilité. Si cette pièce est compromise, tout le reste l'est également. Il va sans dire qu'il est fortement recommandé de prendre des mesures de sécurité extrêmes pour l'accès à l'autorité de certification racine.
En ce qui concerne la sécurité physique, il est important de se poser les questions suivantes :
Où seront stockés l'autorité de certification racine et l'ensemble du matériel cryptographique ?
Concentrons-nous sur les installations qui seront utilisées pour stocker l'autorité de certification racine et tout le matériel cryptographique. Quel est le niveau de sécurité de ces installations ? Est-elle surveillée 24 heures sur 24, 7 jours sur 7 et 365 jours par an ? Toutes les activités sont-elles surveillées ? Quelle est la durée de conservation des vidéos des caméras de sécurité ? Des contrôles appropriés sont-ils en place pour l'accès aux installations ?
Qui a accès aux installations ? Qu'est-ce que le modèle SoD (séparation/séparation des tâches) ?
Personne ne doit être en mesure d'accéder seul à l'autorité de certification racine ou de passer seul par les points d'accès pour récupérer l'autorité de certification racine. La SdD est extrêmement importante, non seulement pour des raisons évidentes de sécurité, mais aussi pour tout audit nécessaire.
Un modèle de SdD clair et solide doit être élaboré, documenté et suivi. Chaque personne doit se voir attribuer un rôle et des tâches dont elle est responsable.
Comment l'accès aux installations est-il contrôlé et enregistré (le "gardien") ?
Cette personne est responsable du contrôle d'accès aux installations. Cela permet également de séparer les tâches entre ceux qui ont un accès physique à l'AC racine et ceux qui n'en ont pas.
Comment l'accès à l'autorité de certification racine est-il enregistré ?
Tout accès à l'autorité de certification racine doit être enregistré. Les journaux d'accès doivent pouvoir être consultés rapidement et contenir des informations pertinentes telles que la raison de l'accès à l'autorité de certification racine, la date, l'heure et le nom de la personne qui y a accédé. Le niveau de détail des journaux que l'organisation souhaite conserver dépend uniquement d'elle. Les paramètres suggérés sont considérés comme des minimums.
Comment le matériel cryptographique est-il stocké et sécurisé ?
Il est évident que l'autorité de certification racine et l'ensemble du matériel cryptographique doivent absolument être stockés de manière appropriée. Il s'agit du bien le plus précieux de PKIet il doit être traité comme tel. Va-t-il être stocké dans un coffre-fort ? Dans une chambre forte ? Il est important de garder à l'esprit qu'il doit être stocké de manière à empêcher l'accès d'une seule personne.
Des processus appropriés de reprise après sinistre (DR) et de continuité des activités (BC) ont-ils été élaborés et testés ?
Des exercices périodiques de DR et de BC devraient être effectués pour garantir un moyen rapide et efficace de ramener les opérations commerciales à la normale en cas d'événement perturbateur. L'accès approprié aux installations et à l'AC racine doit être revu. Toute la documentation doit être à jour, testée et comprise par toutes les parties prenantes qui seront impliquées dans les efforts de DR et BC.
Bien entendu, il existe de nombreux autres facteurs pour protéger l'autorité de certification racine, tels que les modules de sécurité hardware (HSM), la manière dont ils seront déployés, les considérations relatives à l'architecture, les quorums de cartes, etc. Toutes ces méthodes sont importantes, en plus de la sécurité physique de l'autorité de certification racine de votre organisation.
