Récapitulation du webinaire : Construire, acheter ou apporter des renforts pour les PKI

Alors que la plupart des ICP ont été gérées en interne au cours de la dernière décennie, le temps et la technologie ont élargi les fonctionnalités et les compétences nécessaires au déploiement et à la gestion d'une ICP réellement sécurisée ( PKI).

Pour qu'un site PKI interne (sur site ou dans le nuage) fonctionne et évolue correctement, vous aurez besoin d'une équipe entièrement formée, dotée des compétences spécialisées et d'un personnel informatique approfondi pour gérer efficacement le site PKI .

Les autres conditions de réussite et de sécurité d'un site interne complet PKI sont la sauvegarde et la reprise après sinistre, les politiques et pratiques en matière de certificats, des installations hautement sécurisées et des contrôles logiques pour protéger les autorités de certification racine et émettrices.

Avant de décider si le site PKI est la bonne option pour votre organisation, posez-vous les questions suivantes :

• Quel sera le coût du déploiement et de la maintenance de votre site PKI? (Pensez à hardware, software, aux opérations, à la formation, à l'assistance aux utilisateurs finaux, etc.)
• Votre organisation peut-elle gérer et contrôler les opérations du site PKI dans une mesure qui réponde aux exigences d'échelle et à la posture de risque ?
• Un processus sera-t-il mis en place pour garantir que le fonctionnement du site PKI reste conforme aux attentes de l'organisation ? À quoi cela ressemble-t-il ?

Si les réponses à ces questions ne conviennent pas à votre organisation, il est temps de repenser la façon dont vous gérez votre site PKI.

Dans le cas d'un service géré en interne ( PKI), l'objectif est d'augmenter les compétences et la disponibilité de votre équipe interne ( PKI ou InfoSec) avec l'expertise appropriée.

La plupart des organisations que nous voyons opérer avec cette option ont historiquement décidé qu'il y avait un besoin commercial pour un PKI interne, qu'il s'agisse de l'enregistrement de certificats pour les serveurs internes, de l'authentification des clients pour le Wi-Fi et le VPN, de l'IPsec pour les tunnels cryptés, etc. Cependant, en raison des difficultés associées au "bricolage" PKI, comme le manque de personnel et d'expertise pour maintenir cette solution PKI , ils ont choisi de la faire gérer ou co-gérer par un fournisseur tiers.

Avec cette option, ils continuent d'héberger et d'exploiter toute l'infrastructure en interne, y compris l'infrastructure d'autorité de certification et de révocation, mais ils peuvent désormais se concentrer sur d'autres priorités tout en se déchargeant de certaines des tâches de maintenance liées à PKI.

Voici quelques bonnes questions à poser si votre organisation envisage cette option :

• Votre équipe dispose-t-elle des compétences spécialisées et des ressources informatiques nécessaires pour gérer efficacement PKI en interne ?
• Votre fournisseur actuel répond-il aux exigences en matière d'évaluation des risques et de politique pour l'application/le cas d'utilisation ?
• Êtes-vous en mesure de gérer PKI en interne de manière aussi sûre et rentable qu'un fournisseur tiers ?

Si vos réponses à ces questions ne sont pas satisfaisantes, il est temps d'envisager une solution PKI hébergée dans le nuage.

Managed PKI, ou ce que Keyfactor appelle "PKI as a Service", permet à notre équipe d'experts de reproduire une expérience similaire à celle que vous obtiendriez si vous engagiez une "PKI dream team" pour concevoir, déployer et gérer votre PKI pour vous.

Nous combinons ensuite cela avec notre gestion de certificats software, permettant à votre organisation d'accéder à une instance PKI dédiée et conçue à cet effet, ainsi qu'à vos propres AC racine et émettrices sécurisées dans une infrastructure à locataire unique conçue spécifiquement pour vous et gérée par une équipe d'experts en votre nom.

Si votre organisation a besoin de compétences et de ressources pour gérer votre PKI, si elle a besoin de réduire les coûts et la complexité de l'infrastructure, ou si votre organisation a une initiative " cloud-first ", avoir un PKI entièrement géré est probablement votre meilleure option et la plus sûre.

Bien qu'il ne s'agisse pas d'une liste exhaustive, voici quelques questions à poser lors de l'évaluation des solutions gérées PKI :

• L'exploitation de PKI en interne vaut-elle les coûts opérationnels, l'infrastructure et les exigences en matière de maintenance ?
• Le fournisseur propose-t-il une solution dédiée, à locataire unique, pour le déploiement de PKI ? Ou fonctionne-t-il sur une infrastructure partagée ?
• Quels sont les contrôles de sécurité physiques et logiques utilisés pour protéger l'autorité de certification racine et l'autorité de certification émettrice ? Êtes-vous en mesure de conserver le contrôle des clés racine ?
• L'offre de services est-elle en mesure de répondre à vos exigences en matière d'évolutivité et de disponibilité ?

Quelle que soit la manière dont vous "faites PKI", vous devrez évaluer les besoins et exigences spécifiques de votre organisation et la manière dont vous pourrez étendre l'utilisation de PKI au fur et à mesure que votre entreprise se développera.

Pour approfondir ce qu'il faut pour gérer efficacement un site PKI , consultez notre liste de contrôle pour l'évaluation des outils de gestion des certificats et de PKI :