公钥基础设施(PKI)证书一直以来都被当成Web服务器和物联网(IoT)防护的最佳办法。过去,PKI的部署和更新工作需要IT人员手动操作,耗时耗力。如今,可以利用工具自动化这些过程,让网络、设备与用户之间的连接防护工作更简单高效进行。
证书可用于加密静态数据。PKI还可以验证用户、系统和设备而无需令牌、口令策略或其他由用户提供的验证因素。在互动身份验证场景中,证书可唯一地标识设备,强化授权过程并保护设备对设备的通信。因此,证书确保了传输的数据或消息都不会被篡改。
企业面临的挑战就是确定到底该保护哪些资产,尤其是在越来越多的公司都开始拥抱IoT趋势的情况下。PKI可以确保所有设备的数据机密性、完整性和可用性基本安全要求都得到恰当的配置。
但该工作如今基本上不可能通过人工过程来实现,因为上线设备的数量实在太多了。到2020年,将有超过250亿台设备接入互联网,而这么多设备的连接都必须受到保护以防止公司和个人受到恶意攻击。
我们不妨跟10年的情况来做个类比。在10年前,证书颁发机构(CA)为整个互联网颁发的数字实体身份验证证书大约有1000万个。今天,仅仅1家公司可能就需要1000万个证书来认证其设备和服务。所需证书的数量增长可谓指数级。于是,证书的产生和颁发就开始变得复杂了。
毕竟,PKI就是在数学基础上产生的,利用算法来指导对签名的验证,保护设备和网络间数据共享及通信的安全。幸运的是,算法愈趋复杂的同时,技术也在进步,现代电脑可以处理验证设备或网站链接安全性所用的复杂算法。
但是,针对这些系统的网络攻击也变得更加先进了,而且攻击越来越频繁。所以,有效利用PKI的一个关键方面就是根据威胁情况的变化适时调整并更新这些证书。换句话说,PKI不是一旦设置就可以再不用管的,今天的威胁态势下,PKI的使用需要持续而周全的安全计划。很多时候,云服务提供商会仅仅因为某人忘了更新证书而遭遇系统宕机的悲剧。而这一切都是源于证书更新过程是手动而非自动化的。
因此,让PKI可用性更高的方法之一,就是与引入了自动化技术的CA合作,卸下IT人员身上的人工维护负担。IT人员和用户不用担心这会“破坏”什么东西,因为他们不用注意正确的讨论组或新攻击动态。
开发环境中引入自动化的PKI也很有用,因为开发人员需要经常性地提交和拉取代码。PKI可以让每位开发者签署自己访问的东西,创建信任链。开源项目和公司下载站点也可以利用PKI防止网站被劫持或沦为DNS攻击的受害者。
如果公司企业计划采用PKI,有必要同时纳入自动化可提供的种种优势。与CA合作的好处就体现在这里。CA负责管理PKI,参与到论坛和工作组里,确保PKI能适应不断变化的威胁态势。这可以让公司企业从此类责任中解脱出来,专注到他们的战略性业务目标上。
