关于PKI审计您需要了解的一切_揽阁信息科技（上海）有限公司

021-54410609

关于PKI审计您需要了解的一切

发布时间：2024-05-15 23:47:42 阅读次数：

PKI是组织安全架构的支柱，确保互联网上加密、身份验证和安全通信的顺利运行。如此复杂的系统的高效、安全运行需要持续的监控和评估。这就是PKI审计发挥作用的地方，以确保您的PKI基础设施能够应对日益严重的威胁，并满足不断变化的法规和合规标准。

PKI审计的重要性

在现在这样的时代，PKI 审计是必要的。这一战略举措有助于评估当前环境中的安全漏洞。它确保与所有必要的业务驱动因素和PKI要求保持一致，作为增强安全态势和满足所有合规性要求的主动步骤。

作为PKI审计一部分的详细差距分析提供了所有PKI 服务域的全面概述。这包括治理、系统架构设计、运营、风险和合规性监控以及证书生命周期管理。这种彻底的检查可确保您的PKI的任何方面都不会被忽视，从而让您清楚地了解您的安全状况。

您有机会将PKI环境的成熟度与定义的框架和比较组织进行比较，并审查安全控制，从而培养竞争意识和改进动力。

PKI审计的关键支柱

治理
这是指PKI计划治理结构，包括定义的角色和职责、业务协调、高管参与和支持以及对PKI功能的监控和监督。它包括对所有相关业务和监管风险和控制的全面评估，并以结构化方式监控缓解措施。
系统架构设计
这重点关注整个PKI架构和所涉及的组件，例如注册机构、根 CA、从属 CA、HSM 等，以维持PKI环境中的活动。
证书生命周期管理流程
这包括有效处理证书相关活动的程序，例如：证书请求、颁发、分发、备份、恢复、销毁等。
运营
这是指组织部署、维持和扩展PKI 服务的能力。它包括每个阶段必须执行的各种流程，包括设计PKI架构、构建、测试、进行定期活动以确保服务不间断，以及扩展以支持高负载需求和新技术。
风险与合规监控
这评估了组织以结构化方式评估所有相关业务和监管风险和控制以及监控缓解措施的能力。

为什么要进行PKI审核？

供应商依赖和锁定
PKI审计揭示您的PKI基础设施对供应商的依赖，以评估可靠性并降低锁定风险。锁定可能会导致未来的控制力减弱，从而限制灵活性和谈判能力。
发现常见的部署错误
PKI中最常见的错误之一是缺乏规划和跟踪。架构部署期间的规划不善可能会严重损害 PKI，因为它会打开可供攻击者利用的安全漏洞。规划不善还会导致证书和密钥管理不善，为攻击者提供了另一个利用途径。

除了规划之外，PKI 资产跟踪不善也会导致问题。PKI审计首先是跟踪PKI的不同组件，让您更透明地了解其内部运作情况，从而帮助您降低风险。
深入研究根 CA 安全性的工作
根CA作为信任的根，对于PKI至关重要，必须得到良好的保护。如果根 CA 受到损害，则需要从头开始重新创建整个 PKI，因为该PKI中颁发的任何证书都不再可信。PKI审核可让您深入了解根 CA 安全级别的效率，这有助于确保根 CA 的密钥免受外部攻击。
评估证书生命周期管理的效率
 如果证书遭到泄露或未使用，恶意用户可能会使用证书窃取或访问敏感数据。此外，如果用户或应用程序的证书过期而未续订，则该用户或应用程序可能会失去服务。

彻底的审核可以帮助您发现这些证书并找到需要修复的管理漏洞，以实现有效的数字证书管理流程。
分析证书和密钥存储的安全级别
黑客可以使用各种技术来分析和检测正在使用或传输的密钥。确保密钥安全地存储在FIPS 140-2 3 级系统下是必要的。

布鲁斯·施奈尔 (Bruce Schneier) 是一位广受尊敬的美国密码学家和安全研究员，他 以如此严肃的态度撰写了关于密钥安全的文章 ，以至于你不禁会对自己没有做的一切感到有点内疚：

“任何基于 CA 的系统中最大的风险之一是您的私人签名密钥。你如何保护它？几乎可以肯定，您没有拥有物理访问控制、TEMPEST 屏蔽、“空气墙”网络安全和其他保护功能的安全计算系统；您将私钥存储在传统计算机上。在那里，它很容易受到病毒和其他恶意程序的攻击。”

“即使你的私钥在你的电脑上是安全的，但它是否在一个上锁的房间里，有视频监控，所以你不认识任何人，但你曾经使用过它？如果密码可以保护它，那么猜出它有多难？如果您的密钥存储在智能卡上，该卡的抗攻击能力如何？ [大多数都非常弱。]如果存储在真正能够抵抗攻击的设备中，受感染的驾驶计算机能否让值得信赖的设备签署您不打算签署的内容？

PKI审核可让您全面了解存储过程及其安全级别。这是保护您的数字密钥并保护您的组织免受外部威胁的第一步。
检查过时PKI的风险评估
过时的PKI系统缺乏所有必要的安全功能，使组织面临外部威胁并带来不合规风险。

这些过时的系统可能具有已弃用的算法、较弱的密钥长度和过时的证书颁发机构，使您的组织容易遭受数据泄露、中间人攻击和拒绝服务攻击。对您的PKI架构进行定期审核可以防范不断增加的威胁，并确保您保持合规性并跟上行业的发展。
满足所有监管标准
网络安全是一个不断发展的行业，导致法规不断变化和新的合规要求。《通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)等法规可确保组织应对新的隐私挑战。

遵守所有必要的规定是一项不容忽视的法律要求。评估PKI的健康状况并确保您的组织满足所有合规性要求，可以保护您免受巨额罚款和声誉损害。
维护敏捷和可扩展的架构
组织不仅必须投资于现在，还必须为未来做好准备。PKI审计不仅有助于评估当前架构的差距和潜在风险，而且还可以作为维护和增强PKI架构敏捷性方面潜在增长的路线图。

它确保随着您的组织的发展，您的PKI环境可以扩展、与新技术集成，并安全有效地满足不断增长的需求，从而提高运营效率。
提高架构的成本效率
维护过时的PKI系统、广泛依赖手动流程以及投资组织不再需要的数字证书和证书颁发机构都是额外费用，通过完整而详细地概述您的 PKI，可以轻松避免这些额外费用。审核您的基础设施可以让您深入了解它们，并且是一项未来节省的投资。
与新技术的融合
必须为您的组织配备新的技术进步，以防范日益增长的复杂攻击威胁。PKI审计的结果给出了需要新技术来增强数字防御并提高日常运营整体效率的领域范围。

只有当PKI架构不断更新以支持现代技术的集成能力时，云计算、区块链和物联网 (IoT)等新技术的集成才有可能。
了解如何自动将证书传送到设备
为了大规模顺利运行PKI，需要实现证书部署过程的自动化。行业标准的改变和证书有效期的缩短意味着自动化不会很快成为一种选择，而是一种必然。将有数百或数千台设备需要管理。只有利用自动化，才能有效地处理这一问题，并通过减少人为错误和证书引起的愤怒的机会来帮助维护安全。处理自动化的四种最常见的方法是：

RESTful API
所选的 CA 必须允许对 RESTful API 端点进行编程才能使用企业设备管理软件。
简单证书注册协议 (SCEP)
此路线需要设备上的 SCEP 代理才能与企业设备管理软件配合使用。之后，软件将脚本发送到设备，告诉它获取证书。
通过安全传输 (EST) 进行注册
EST 是 SCEP 的后继者。它几乎相似，只是它支持椭圆曲线加密 (ECC)，这有助于创建更快、更短、更高效的加密密钥。
Microsoft AD 自动注册
这用于将证书直接自动传送到所有 Windows PC 的 Microsoft 密钥存储。

PKI审计包括哪些内容？

PKI审计涵盖多个因素，忽略PKI基础设施的所有关键组件，让您详细了解PKI 的运行状况。这些因素包括：

证书有效期
所有数字证书都有有效期。出于安全原因，在没有任何监督的情况下长期重复使用同一个数字证书是不明智的。如果没有有序地记录和跟踪到期日期，则违规的可能性就会增加。过期的数字证书根本不提供任何安全性。

PKI审核调查数字证书的证书生命周期文档，以检查所有数字证书是否已更新。它还分析组织是否拥有强大的PKI证书管理流程和自动化范围，以确保在颁发或续订证书之前通知所有利益相关者，以防止证书中断。

重要的是要考虑过期日期和更换认证的流程。我们发现，在设备的整个生命周期中使用单个证书通常会涉及太多的安全权衡。
证书完整性
必须首先建立信任以说服客户或潜在客户在线交易或共享信息。从技术上讲，实现这一点的一种方法是使用适当的证书颁发机构。

这些实体验证基于网络的服务或产品的真实性。证书颁发机构可防止网络钓鱼尝试，因为它们会验证 SSL/TLS 证书。一些已知的证书颁发机构验证的数字证书被认为是安全的，许多现代浏览器和工具可以帮助识别这一点。

在PKI审核中，数字证书的颁发会受到深入检查，以确定它们是否具有 CA 验证所需的所有参数。还检查文档流程以描述关联和责任。这在各种情况下都有帮助，例如无缝续订过期证书、替换损坏的证书、跟踪安全事件中受损的证书以及采取所需的预防措施。
证书颁发政策
证书颁发机构可以对颁发证书施加某些限制。这些限制可能会有所不同，例如限制或强制允许 X.509 值、限制允许的主题字段或允许的发行模式等。PKI 审计检查这些问题的回溯和故障排除以及跟踪与每个问题相关的所有发行策略的效率。证书。
证书端点
SSL 证书可以添加到端点。有时，一个数字证书与多个端点相关联。这是在PKI审核下进行跟踪的，以评估每个证书是否在证书过期和续订等情况下进行了更新。审核有助于查看这些端点是否有可能变得脆弱和暴露。
加密密钥大小
加密密钥的大小与密钥强度相关且成比例。RSA 4096等密钥  由于尺寸较大，因此提供了较高的安全性和保证，使得暴力攻击变得困难。审计过程会检查任何位尺寸较小且因此较弱且容易受到威胁的密钥。
加密演算法
健康的PKI应始终包含强大的哈希算法。算法随着时间的推移而更新，变得更强、更快。例如，SHA256比 SHA1 安全得多——审计过程会跟踪使用哪种算法以及它是否符合行业标准。
用例评估
审核过程涵盖对PKI用例的全面分析，包括但不限于：

Web 和应用程序服务器
研究在其环境（本地和云端）以及防火墙后面的所有网站和应用程序中实施高级级别的身份验证和加密。
DevOps 容器和代码
评估组织中的工程团队是否可以使用 代码签名 证书和大容量、短寿命的 SSL 证书将合规证书流程合并到其常规工作流程中，以确保容器、它们运行的代码以及使用它们的生产应用程序的完整性。
零信任安全
审计检查PKI证书和密钥对的使用情况，以加强数字身份验证和防火墙网络架构之外的实体之间的安全连接，以确保 零信任安全 策略。
公有云证书管理
检查是否有一个集中式证书管理解决方案，该解决方案用于自动管理云和企业环境中的所有证书，以确保所有应用程序顺利运行。这些证书保护云中托管的应用程序。
物联网 (IoT) 设备
检查所有连接设备是否存在强大的身份验证和远程安全部署，以评估组织是否可以安全地构建、扩展和管理物联网生态系统。

密钥安全
密钥泄露共享许多安全因素，例如证书有效性。攻击者可以模仿设备，解密和读取数据，如果可以获得私钥，则可以向网络进行身份验证。如果您希望提供真正的身份验证和加密，则必须保护密钥免遭泄露、撤销和更换（如果密钥遭到泄露）。

这意味着将密钥以纯文本形式放在设备上（这样可以轻松提取密钥）并不是一个好主意。相反，请考虑像安全芯片 ( TPM ) 这样的硬件防御或像加密密钥存储这样的软件解决方案，它们可以真正防御攻击者。
分析以检查是否遵循最佳实践
PKI审计有助于评估组织是否遵循现代PKI最佳实践，包括但不限于：

适当的规划
必须制定详细的PKI部署计划。 Gartner 表示：“成功将X.509 证书管理重新定位为引人注目的业务故事（例如数字业务和信任支持）的安全领导者将使项目成功率从目前的不到 10% 提高 60%。”
熟练资源的使用
PKI是一个关键的基础设施，因此专家团队成员应该在组织内实施和运营它。他们需要将PKI外包给值得信赖的专家。托管PKI提供商可以帮助克服这个问题。
安全存储证书和密钥
黑客可以使用各种技术来分析和检测正在使用或传输的密钥。因此，必须确保密钥在拥有FIPS 140-2 Level 3的HSM（硬件安全模块/加密机）下安全存储。
了解您的用例
许多组织都犯过这个错误；他们设计和部署PKI时没有集思广益其用例。在最终确定PKI设计和部署之前，了解您组织的用例至关重要。当您了解自己的用例时，您就知道什么最适合您的组织。
根密钥存储标准
实施根 证书颁发机构 (CA) 就像为组织的网络创建“主密钥”。根 CA 实施很容易受到影响，应在受控环境中处理和部署。根 CA 密钥仪式可帮助组织正式记录事件/活动，提供高度保证。

部署时，您必须将 HSM（硬件安全模块）专用于根 CA。这是部署任何PKI组件之前的一个关键决定。
证书政策和实践
在当今的数字世界中，PKI 是组织保护其敏感数据免受未经授权方侵害的最佳方式。加密充当锁和钥匙，保护信息免遭不良行为者访问。许多组织将其PKI部署为项目要求，并且不考虑制定适当的策略和程序。
证书政策 (CP)

规定公钥基础设施中各方权利、义务和义务的文件。
证书政策（CP）是通常具有法律效力的文件。
CP 通常由 CA 公开公开，例如在网站上（VeriSign 等）

证书实践声明（CPS）

一份文件，阐述了在实践中发生的情况，以支持PKI中 CP 中所做的政策声明。
证书实践声明(CPS)是在有限情况下可能具有法律效力的文件。

PKI管理员的技能评估
PKI管理员需要相当好的技能来处理日常活动。在处理PKI等关键基础设施时拥有编码技能始终是重要且有益的。PKI管理员应该了解的一些开发技术包括 Java、PowerShell 脚本、命令行工具、HTML、XML 和 JavaScript。PKI管理员所需的技能如下：

PKI处理证书颁发机构管理、证书注册 Web 服务和策略 Web 服务以及Active Directory 证书服务 (ADCS)监控的实践经验。
动态数据和静态数据加密。
了解PKI架构。
Windows Server 2012/R2或 2016 和 Windows 10、Unix 或 Linux 和/或数据库技能组的系统管理。
拥有公钥基础设施 (PKI) 机器身份技术（例如 SSH、SSL 和 TLS）方面的专业知识。
灾难恢复流程和业务连续性程序。
拥有管理密钥管理系统 (KMS) 的经验。

知识要求
PKI管理员的评判标准是他们对密码学解决方案概念的理解程度，例如：

对称/非对称密码学
安全哈希函数
数字签名
SSL 证书

PKI审计的好处

改进PKI态势 
PKI可以通过将身份绑定到公钥来提高网络的安全级别，并允许它通过加密身份验证和数字签名来降低风险，从而受益。PKI审计有助于降低机密性并增强其应用程序，例如：

确保各种网页的安全。
加密文件并保护它们。
使用智能卡验证登录。
使用S/MIME加密和验证电子邮件。
验证与特定 VPN 的连接。
对要连接到无线网络的节点进行身份验证。

找出政策、程序和运营方面的差距
运行高效、安全的PKI系统的第一步是评估您的安全漏洞。PKI审核可以详细概述您的组织缺乏和需要改进的领域。这些信息对于构建可提高运营效率、防止威胁并被证明是一项长期财务投资的架构的路线图非常宝贵。
风险缓解
组织可以通过PKI审计有效评估安全性，并有效避免以下安全风险：

防止未经授权访问网络服务。
防止未经授权访问数据库中存储的知识。
防止未经授权访问用户或组织的网络。
验证用户或组织网络上传输的消息的真实性。

业务连续性
随着风险的降低，数据丢失威胁向量将大大减少。关键流程的高可用性将保证业务的顺利运行。PKI审计有助于填补所有安全漏洞并支持组织提高灾难恢复准备能力。
长期节省成本
PKI审计可避免安全漏洞和监管罚款的风险并避免管理开销，从而有效降低组织的财务影响。
主动管理
通过与专业供应商一起审核PKI架构，组织可以提高运营效率、防止中断并避免外部安全漏洞的风险。将通过定期进行PKI健康检查来监控运营有效性。
按需专业知识
PKI审计员带来了宝贵的专业知识，提供了内部团队无法理解的见解和最佳实践。这凸显了安全漏洞，并为简化运营和释放核心业务功能的内部资源提供了路线图。
满足所有必需的行业标准
由于定期检查证书的健康状况，将确保遵守监管标准和框架。利用 ISO 27000 和PCI-DSS等行业基准，组织可以增强其安全态势，在利益相关者和客户之间建立信心，并预防网络威胁。
让您的架构面向未来
组织可以通过强大的PKI框架来保证其基础设施的未来发展。定期PKI健康检查将确保组织拥有强大的整体网络安全态势。

揽阁信息如何提供帮助？

揽阁信息多年来一直为众多客户提供Thales（泰雷兹）公司的HSM产品和与之相关的PKI解决方案。Thales Luna HSM已经被众多国际PKI系统品牌商进行了兼容，包括但不限于：Digicert、GlobalSign、Keyfactor、Primekey、EJBCA等。揽阁信息还与国内PKI厂商进行了深度合作，提供本地化的PKI系统整体解决方案。

我们可快速识别客户现有PKI中非常具体的问题和潜在风险，加快企业的风险降低工作。我们已在许多行业为不同的客户提供指导和加密经验支持，使客户可以对未知的威胁做好充分准备。

结论

管理PKI是企业安全团队的一项重要角色和任务，错误、过时的工具和流程以及缺乏可见性会导致代价高昂的愤怒和漏洞。由于联网设备的增加，无法进行手动管理，因此组织必须考虑PKI审核来保护其架构。欢迎您与揽阁信息的安全专家进行联系，深入交流和探讨您的疑虑和面对的困难。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

数据库访问控制：揽阁LGPAC系统
通用HSM：Luna HSM、ProtectServer HSM
支付HSM：payShield 10K
KMS产品：CipherTrust Manager、Vormetric、KeySecure
数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密
网络传输加密：Thales High Speed Encryption（HSE）
身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！