Élaboration d'un plan pour la mise en œuvre, la politique et la gestion de PKI

Une infrastructure à clé publique (PKI) est un ensemble de hardware, software, de personnes, de politiques et de procédures nécessaires pour créer, gérer, distribuer, stocker et révoquer des certificats numériques et gérer le cryptage à clé publique. On dit souvent (surtout dans la communauté des consultants) que les mises en œuvre de PKI suivent la règle des 80/20... 80 % de planification et 20 % d'exécution. On ne saurait trop insister sur ce concept. Mais il est le plus souvent appliqué aux points de décision spécifiques à PKI , liés à la cryptographie, tels que les espaces de noms, les longueurs de clés, les algorithmes de hachage de signature, etc. Ces points sont essentiels, c'est certain... et difficiles, voire impossibles, à modifier après coup. Mais les aspects non techniques et organisationnels de PKI sont tout aussi importants, en particulier dans les moyennes et grandes entreprises.

Cet article de blog se concentre sur les organisations au sein de l'entreprise qui sont les parties prenantes de PKI , qu'elles le sachent ou non, et sur leurs points de contact qui peuvent être exploités en vue d'un déploiement optimal et donc, en fin de compte, d'un retour sur investissement optimal.

Avant de prendre des décisions techniques telles que celles énumérées ci-dessus, les cas d'utilisation doivent être soigneusement analysés et une politique doit être élaborée, sollicitée, examinée, révisée si nécessaire et finalement publiée. Conformément à la norme RFC3647 relative à la politique et à la déclaration de pratiques en matière de certificats, les politiques précisent, entre autres, les abonnés aux certificats, l'utilisation acceptable, les exigences en matière de révocation et les conditions de contrôle de l'accès physique et logique. La création et l'adoption réussies d'une DPC approuvée, ainsi que le respect de celle-ci, sont les clés d'une revendication d'auditabilité sur le sitePKI .

Si le site PKI en question est destiné au grand public et qu'il établit un certain niveau de confiance entre votre organisation et d'autres, il doit être spécifié dès le départ, au niveau du projet, que les services juridiques et de contrôle et d'audit/conformité de votre entreprise participent à un processus formel d'examen et d'approbation. Même dans le cas d'un projet exclusivement interne ( PKI), nous estimons que c'est une bonne pratique que ces groupes participent à l'élaboration, à l'examen et à l'approbation de ces politiques.

La gestion des changements et la gestion des problèmes sont deux organisations qui peuvent jouer un rôle essentiel dans l'espace PKI de l'entreprise. Bien qu'il soit peu probable qu'ils aient besoin d'être impliqués dans les processus décisionnels relatifs à la conception technique, une heure ou deux de présentation de la mise en œuvre sur le site PKI et une séance de questions-réponses avec ces groupes peuvent s'avérer inestimables.

PKI Les discussions avec le groupe de gestion du changement devraient se concentrer sur les points suivants :

• Changements à apporter à l'environnement pour la mise en œuvre
• Définition et programmation des changements permanents/récurrents
• Types de changements à l'état stable et niveaux de risque associés

Il s'agit là d'exemples d'événements PKI qui, conformément aux normes formelles de gestion des changements de l'entreprise, doivent être soumis, examinés, approuvés et enregistrés.

• Publication du ou des certificats de l'autorité de certification racine et déploiement des autorités de certification émettrices (ces tâches nécessitent généralement un accès au niveau de l'administrateur d'entreprise).
• Mise en œuvre du contrôle d'accès basé sur les rôles sur le site PKI (par exemple, administrateurs de serveurs locaux, modifications des paramètres du journal d'audit, délégation de modèles de certificats, etc.)
• Publication de la CRL de l'autorité de certification racine : Une demande de modification "permanente", ou récurrente, peut être établie pour cette tâche. Si la LCR d'une autorité de certification racine hors ligne doit être générée et publiée manuellement, comme c'est souvent le cas, l'existence d'un processus formel de gestion des modifications présente plusieurs avantages.
  • Il permet de suivre et de notifier les parties concernées (dans le cas d'une authentification en plusieurs parties et de contrôles d'accès physique distincts pour les matériaux cryptographiques).
  • Cela permet à l'ensemble de l'entreprise d'avoir un œil sur le processus, ce qui réduit le risque que la tâche soit négligée si elle est gérée, par exemple, dans les calendriers d'une ou de deux personnes.
• Révocation de toute autorité de certification dans la hiérarchie PKI
• Toute modification du modèle de sécurité ou des contrôles d'accès du site PKI.
• Toute modification de la limite de confiance du site PKI(dans un sens ou dans l'autre)
• Toute modification à l'échelle de l'entreprise requise pour les opérations PKI , telle que l'activation de l'inscription automatique des certificats dans la stratégie "Contrôleurs de domaine par défaut".
• Déploiement de nouveaux modèles de certificats ; modifications (ou suppressions) de modèles existants

Les opérations quotidiennes sur le site PKI , telles que les demandes et les délivrances de certificats, sont généralement considérées comme hors du champ d'application de la gestion des changements de l'entreprise, sauf si des circonstances particulières l'exigent.

L'équipe de gestion des problèmes sait généralement qui est responsable de quoi au sein de l'organisation informatique. La raison pour laquelle ils participent à un aperçu/Q&A sur PKI (comme mentionné ci-dessus) est qu'il en va de même pour l'environnement PKI .

Si une entreprise PKI est mise en œuvre sans l'implication préalable de cette organisation, des retards importants peuvent s'ajouter à la résolution des problèmes et aux efforts d'analyse des causes profondes. Par exemple, si l'environnement Wi-Fi d'une entreprise dépend de l'authentification par certificat d'un bout à l'autre, il faut savoir qu'il faut vérifier la validité du certificat d'un serveur RADIUS Microsoft NPS au cas où un site entier serait touché par une panne Wi-Fi.

Cela peut s'étendre à d'autres domaines (bien au-delà de la longueur de ce blog), tels que le service d'assistance de l'entreprise et les organisations d'aide au poste de travail, en particulier lorsque le site PKI et ses composants deviennent de plus en plus critiques pour l'utilisateur final.

Qu'il s'agisse de la politique, de la conception, de la mise en œuvre, des essais ou du soutien, l'implication et la sensibilisation sont essentielles. La documentation (et sa mise à jour) est essentielle. En guise de conclusion, le responsable du projet PKI de l'entreprise pourrait créer une liste de distribution par courrier électronique PKI couvrant toutes ces organisations pour, au moins, obtenir des mises à jour périodiques sur ce qui a été déployé, les problèmes qui se sont posés (et la manière dont ils ont été résolus) et ce qui se profile à l'horizon... Tous les serveurs web internes auront-ils besoin de SSL à une certaine date ? Les certificats clients seront-ils exigés au prochain trimestre pour le Wi-Fi ou l'accès direct ? Vers la fin de la période de validité d'une autorité de certification, est-il temps de faire le tour des wagons et de commencer à planifier la mise à jour ?

Autant de questions auxquelles Certified Security Solutions (CSS) peut répondre en ce qui concerne la définition des besoins, la planification et l'approche de la mise en œuvre.