![[Récapitulatif du webinaire] Sécuriser la prochaine génération PKI](https://www.keyfactor.com/wp-content/uploads/securing-next-gen-pki-blog-img.png)
PKI Les déploiements ont évolué et se sont étendus pour protéger plus d'infrastructures et d'applications critiques que jamais, s'imposant comme une technologie sûre et rentable pour permettre de nouvelles initiatives telles que l'informatique en nuage, le maillage de services et IoT.
Regardez le webinaire à la demande ou lisez les points forts ci-dessous pour obtenir des conseils pratiques sur l'évaluation de PKI en interne par rapport à PKI en tant que service, de la part de Chris Hickman, CSO de Keyfactor , et d'Ellen Boehm, directrice principale de la gestion des produits de IoT .
Comment les cas d'utilisation de PKI se sont-ils développés au fil des ans ?
En raison de sa large utilisation, PKI est devenu la norme de facto pour de nombreux types d'applications de sécurité, de l'entreprise à IoT.
Bien que PKI ne soit pas une nouvelle technologie, ses cas d'utilisation continuent à se développer, ce qui se prête à une conversation sur le type de PKI que vous devriez rechercher pour sécuriser votre entreprise ou vos appareils.
Et cette conversation commence par la compréhension de ce que le site PKI englobe aujourd'hui : les autorités de certification (qui émettent les certificats), les modules de sécurité hardware (utilisés pour stocker les clés en toute sécurité), un référentiel d'identité et les éléments de gestion du cycle de vie en aval pour automatiser et gérer le remplacement des clés, les racines de confiance et plus encore.
Il y a quelques années, lorsque la technologie était plus lente et plus simple, les ICP étaient conçues pour des applications spécifiques, par exemple si quelqu'un voulait améliorer la sécurité du Wi-Fi ou utiliser des certificats pour sécuriser des sites web.
Toutefois, au fil du temps, les entreprises ont commencé à utiliser le même site PKI pour plus d'un cas d'utilisation, ce qui a rendu les choses difficiles et coûteuses à gérer... si elles ne sont pas gérées correctement, bien sûr.
Bien qu'il se développe et évolue pour couvrir une variété de cas d'utilisation - y compris des choses comme DevOps - PKI reste une technologie de base pour sécuriser les entreprises et le monde croissant de IoT, il est donc essentiel de comprendre quel type de PKI mettre en œuvre pour votre cas d'utilisation spécifique.
En quoi le déploiement de PKI pour les fabricants d'appareils IoT diffère-t-il de celui d'une entreprise typique PKI?
Bien que le volume de certificats et le nombre de cas d'utilisation uniques PKI aient augmenté à la fois dans les ICP d'entreprise et IoT, le monde de IoT, en particulier, a bénéficié de l'évolution. En raison d'une expansion et d'une évolution rapides similaires, le monde de la sécurité IoT évolue parallèlement à l'évolution de PKI.
L'une des grandes différences entre PKI pour IoT et les entreprises est le cycle de vie. Bien que les principes fondamentaux de ce que PKI peut fournir - méthodologies, procédures, résultat final étant un certificat, etc. - permettent de sécuriser les appareils tout au long de leur cycle de vie, PKI doit faire l'objet d'une réflexion approfondie lors de la conception initiale de l'appareil, de la construction et de l'approvisionnement afin de maintenir l'appareil aussi sécurisé que possible le plus longtemps possible.
En outre, PKI pour IoT exige un cryptage adéquat des clés qui se trouvent dans les appareils, une signature des microprogrammes établie et des signatures numériques pour maintenir les appareils tout au long de leur durée de vie, où qu'ils se trouvent. Les données doivent être cryptées au repos et en transit, et il doit y avoir une vérification de la signature basée sur le site PKI pour s'assurer que toutes les mises à jour qui doivent être déployées sont authentiques avant de les installer.
De quelles interfaces d'inscription un site moderne PKI a-t-il besoin pour prendre en charge les cas d'utilisation IoT et quelles authentification et autorisation Keyfactor prend-elle en charge pour l'inscription initiale IoT ?
Alors que certains appareils IoT peuvent s'inscrire via SCEP et EST, Keyfactor gère la génération de clés d'inscription de certificats en utilisant un orchestrateur intégré dans le micrologiciel de vos appareils. Des inscriptions uniques sur IoT sont mises en place en fonction de la capacité de hardware et des exigences requises.
Keyfactor utilise également l'authentification par certificat côté client pour l'authentification initiale de l'appareil. Cela signifie qu'il y aura une clé privée dans l'appareil qui restera dans l'appareil avec une clé publique générée mathématiquement et liée qui peut être utilisée pour l'échange.
Cela permet une authentification mutuelle où le client et le serveur ou deux appareils peuvent s'authentifier l'un l'autre, conformément aux meilleures pratiques en matière de sécurité et à l'adresse IoT .
Que signifie "hors ligne" et quelle est la raison d'être d'une racine hors ligne ?
Hors ligne signifie hors ligne, c'est-à-dire qu'il n'a jamais touché un réseau à un moment donné de son existence. Il n'y a pas de degrés différents de déconnexion.
La raison d'être d'une racine hors ligne est qu'elle ne peut jamais être compromise et qu'aucun chemin de réseau ne peut y accéder, ce qui l'isole complètement de tout ce qui pourrait la mettre en danger.
Cependant, une racine hors ligne crée une charge opérationnelle, et il s'agit donc de trouver un équilibre qui convienne à votre organisation lorsque vous les utilisez.
En fin de compte, une autorité de certification racine fera l'objet d'un examen minutieux dans le cadre d'un audit interne ou externe et devra être complètement déconnectée, sans contact avec un réseau à aucun moment, et déplacée manuellement. Bien que ce processus semble décourageant, l'examen des services gérés PKI (pensez à PKI-as-a-Service) est l'une des voies les plus abordables, les plus sûres et les plus efficaces pour les entreprises et les fabricants de IoT .
Quel est l'impact de l'expiration d'une autorité de certification racine et quelles en sont les conséquences pour une entreprise ? Un fabricant ?
Les certificats doivent tout simplement expirer. C'est une évidence, au même titre que votre permis de conduire ou votre passeport.
La vérification expire au bout d'un certain temps et doit être prouvée à nouveau pour démontrer la confiance et la validité continues de ce que vous essayez d'accéder.
Et cette confiance fait partie intégrante du fonctionnement de PKI .
Lorsqu'une autorité de certification racine expire, elle est obligée de réémettre cette autorité de certification racine ou d'en changer la clé, et dans tous les cas, vous devrez réémettre la confiance de ce nouveau matériel de clé cryptographique aux dispositifs qui lui sont liés.
Pour ce faire, vous devez être en mesure de distribuer ces nouveaux certificats ou ces certificats remaniés aux appareils concernés.
Du côté de l'entreprise, il y a un certain nombre de façons différentes de procéder, en fonction de ce à quoi ressemble votre entreprise. Mais en fin de compte, si vous ne le faites pas de manière efficace et efficiente, vous aurez une forme de panne ou d'impact.
Pour ce qui est de IoT, choisissez tout ce qui est connecté, comme les pompes à insuline fabriquées par un fabricant et distribuées à des personnes dans le monde entier. Ou des véhicules, ou tout ce qui est intentionnellement construit pour être connecté à l'internet et qui se met en marche et vit sa vie.
Cela peut représenter un coût de garantie important pour votre entreprise si vous devez toucher physiquement chacun de ces éléments, un par un, avec un moyen sécurisé d'accéder à ce code et de mettre à jour la clé privée qui s'y trouve. Avec une approche stratégique, vous pouvez créer des identités, puis les mettre à jour et les conserver tout au long de leur durée de vie à grande échelle.
