Viktigheten av å ha kontroll på interne sertifikattjenester
Kato Kristiansen, Lead Architect i Atea, slår et slag for Public Key Infrastructure (PKI) og viktigheten av å ha kontroll på interne sertifikattjenester.
Forhistorien for hvordan PKI tas i bruk i en organisasjon er gjerne at man har et prosjekt eller leveranse som har behov for digitale sertifikater og en PKI implementeres med raske grep - uten at man legger noe særlig tid i designfasen eller planlegger hvordan tjenesten skal forvaltes.
- Man har et akutt behov for sertifikater.
- Man får en PKI opp og kjøre.
- De aktuelle sertifikatene utstedes.
- Herfra lever sertifikattjenesten sitt eget liv.
Resultatet er ofte sertifikatløsninger som har vært med siden "tidenes morgen" og ansvaret for løsningen har egentlig aldri satt seg i organisasjonen. Sakte, men sikkert har man tilført stadig flere bruksområder, både i infrastrukturen og for tjenester/applikasjoner (eksempelvis 802.1x, TLS/SSL, LDAPS, kodesignering, fjernaksess/VPN, Encrypting File System).
Fellesnevner for brorparten av disse tjenestene er at de er helt avhengige av en funksjonsdyktig PKI for å fungere. Når man så har en PKI med mangelfulle forvaltningsrutiner og som slett ikke er rigget til å levere på nødvendig nivå av sikkerhet eller tilgjengelighet, så er det bare et tidsspørsmål før man havner i problemer som resulterer i uønsket nedetid på tjenester og infrastruktur (sertifikater som utløper, revokeringslister (CRL) som ikke fornyes i tide, etc).
En stemoderlig behandlet PKI som feiler gir konsekvenser som er merkbare (og umiddelbare) for de fleste i organisasjonen (VPN som ikke virker, trådløse nettverk som blir utilgjengelig, brukere som ikke får logget på sin PC/klient osv, osv). Er man "heldig" klarer man å få løsningen opp og kjøre etter kort tid, men har rutinene vært mangelfulle nok ender man opp med krisehåndtering over både dager og uker før alle systemer og tjenester igjen fungerer som forventet.
”De siste årene har jeg gjennomført mange risikovurderinger av interne PKI-løsninger, og min erfaring er at de fleste har mangler og sårbarheter som kan kategoriseres som alvorlige eller kritiske”
Mitt klare råd til alle som har et (ofte ubeskrevet) ansvar for PKI er å gjøre en analyse av hvilke type sertifikater som er i bruk i organisasjonen, vurdere risiko og raskt innføre korrigerende tiltak som adresserer funnene som anses å ha størst risiko.Deretter jobbe frem og innføre tiltak som gjør at du er forberedt når/hvis en "sertifikat-krise" oppstår og alle peker på DEG!
- Operasjonelle rutiner
- Monitorering & Audit
- Backup & Disaster Recovery
- Sikkerhet og herding
- Tilgjengelighet/redundans
- Forvaltningsrutiner/livssyklus for sertifikatutstedere