Що таке PKI як послуга?
Керовані послуги PKI пропонують найкраще з обох світів: безпеку внутрішньої PKI для видачі ваших сертифікатів без клопоту робити все самостійно. Багато організацій хочуть скористатися перевагами використання приватної PKI, але не вміють виконувати повсякденні обов’язки, які супроводжують їх. Вони хочуть видавати сертифікати для захисту внутрішніх ресурсів, коли це необхідно, але часто не готові виконати все, що потрібно для цього.
Самостійний спосіб створення локальної приватної PKI і керування нею не для слабкодухих. Це вимагає всього: від керування безпечними об’єктами та програмним забезпеченням до придбання дорогого обладнання та найму додаткового спеціалізованого персоналу для його налаштування та експлуатації. Один із способів допомогти впоратися з цими проблемами та витратами, пов’язаними з приватними PKI, або взагалі зменшити їх - це використовувати хмарну PKI як сервісне рішення. Що таке PKIaaS і яку користь він може принести вашій організації?
Що таке PKI як послуга PKIaaS?
PKI як послуга, також відома як керована служба PKI (mPKI) або розміщена PKI, - це пропозиція, яка дозволяє компаніям швидко створювати, розгортати та керувати приватною PKI, якою керує сторонній постачальник послуг. Оскільки він побудований з використанням усіх попередньо створених інструментів, процесів, політик і платформи постачальника PKI - його набагато легше та швидше розгортати, ніж PKI DIY. PKIaaS ідеально підходить для компаній, які не мають необхідного внутрішнього персоналу для внутрішньої роботи своїх власних PKI, і є достатньо масштабованим для роботи у великих компаніях із зростаючими потребами. Підхід PKIaaS до приватної PKI зазвичай забезпечує безпечне зберігання ключів через розміщене постачальником приватне хмарне середовище або центр(и) обробки даних, що економить значні витрати та заощаджує клопоти під час налаштування апаратних модулів безпеки (HSM).Ось деякі відмінності, які ви побачите під час використання локальних і зовнішніх служб PKI, використовуючи як приклад Trust Lifecycle Manager від DigiCert.
| Traditional Private PKI | PKI як сервіс (PKIaaS) | |
| What It Is | A private PKI that you set up, operate, and manage yourself using in-house resources | A private PKI that’s created using a PKIaaS platform, so the service provider manages many of the PKI-related responsibilities |
| Costs | Requires up-front capital expenditures along with ongoing operational expenses over time | Often cost-effective due to increased efficiency and reduced personnel and hardware expenses |
| Personnel Requirements | Requires hiring, training, and keeping dedicated in-house PKI professionals with the knowledge and skills to set up and run your private PKI | The service provider’s team of PKI experts handles all of the backend systems and PKI setup and management |
| Security and Compliance Requirements | Highly secure when implemented properly but requires specialized knowledge, skill sets, and both physical and digital security measures | Security and compliance are improved due to PKI experts’ combined knowledge and skill sets |
| Hardware and Software Updates and Upgrades | On-prem hardware and systems that you purchase, set up, manage, and maintain yourself, and will depreciate over time | Systems are stored in a secure facility and are managed and monitored by the provider’s team of PKI experts |
| PKI Scalability | Requires additional hardware purchases, software licenses, and other upgrades over time to grow with your business | Managed PKI is flexible and scalable, growing or changing with your company’s needs over time through the service provider |
Короткий огляд інфраструктури відкритих ключів
Інфраструктура відкритих ключів охоплює всі системи, які забезпечують захист даних у публічних і приватних мережах. Типова система PKI включає:
- Надійні кореневі та проміжні ЦС
- Захищені публічно-приватні системи генерації та зберігання ключів
- Сервери центру сертифікації та бази даних
- Механізми або сервери відкликання сертифікатів CRL або OCSP
- Інструменти автоматизації та інтеграції життєвого циклу сертифікатів
- Задокументовані політики та процедури
У двох словах, це основа безпеки в Інтернеті, яку ви не можете «встановити і забути». він вимагає постійного моніторингу та ретельного управління своїми цифровими активами.
Існує два основних способи використання PKI:
- Загальнодоступний PKI відноситься до інфраструктури, якою керують органи сертифікації (CA), які використовуються для видачі сертифікатів для загального використання, наприклад, сертифікати SSL/TLS. Ви отримали загальнодоступні довірені сертифікати одним або декількома сторонніми центрами сертифікації, і вам потрібно керувати ними, але ви не маєте жодного відношення до безперебійної роботи, безпеки чи відповідності, пов’язаної з роботою самої архітектури PKI.
- Приватна PKI стосується внутрішньої інфраструктури PKI та рішень для керування життєвим циклом сертифікатів, які використовуються у вашому бізнесі. Цей внутрішній PKI видає приватні довірені сертифікати. Зазвичай ви або розміщуєте свою інфраструктуру на місці, або використовуєте стороннього постачальника послуг, щоб розмістити її за межами сайту, наприклад, у загальнодоступній чи приватній хмарі, центрах обробки даних тощо.
PKIaaS/mPKI — це все про керування вашим внутрішнім PKI. За допомогою традиційної локальної внутрішньої інфраструктури PKI ви відповідаєте за налаштування й керування всім, що пов’язано з керуванням вашою внутрішньою інфраструктурою відкритих ключів — вашим кореневим ЦС, видавцем і/або проміжним ЦС, апаратними модулями безпеки (HSM), резервним копіюванням сервери тощо. З PKIaaS керований постачальник послуг виконуватиме ці речі за вас, залишаючи на вас відповідальність за перевірку та видачу сертифікатів, адаптацію профілів сертифікатів та виконання інших налаштування за бажанням.
Ваш приватний центр сертифікації дає змогу видавати та керувати цифровими сертифікатами, які захищають і автентифікують ваших внутрішніх користувачів і активи, зокрема:
- сайти внутрішньої мережі
- співробітників та інших користувачів мережі
- локальні та віддалені мережеві пристрої
- міжмашинний зв'язок
- внутрішні програми та служби
Завдяки надійній керованій платформі PKI вам більше не потрібно вручну відстежувати розгортання сертифікатів в електронних таблицях. Натомість ви можете безпечно керувати своїми PKI та сертифікатами за допомогою централізованої системи, яка дозволяє автоматизувати видачу сертифікатів швидше. Незалежно від того, чи є ви малою, середньою чи великою компанією, PKIaaS є чудовим варіантом, якщо вам не вистачає спеціальних ресурсів, щоб безпечно налаштувати й запустити її самостійно. Простіше кажучи, PKIaaS — це спосіб передати управління цими повсякденними обов’язками цифрової довіри аутсорсингу, водночас користуючись перевагами безпеки, налаштування та автоматизації, які він надає.
DigiCert Trust Lifecycle Manager Simplifies PKI & Digital Certificate Management DigiCert Trust Lifecycle Manager is an all-in-one PKI & certificate lifecycle management (CLM) solution.
Традиційний внутрішній PKI проти хмарного PKIaaS Хмарна PKIaaS є економічно ефективною альтернативою традиційним локальним приватним PKI-компаніям, які часто працюють удома. Локальні розгортання, які ви робите самостійно, зазвичай вимагають великих капітальних витрат (capex) і, дедалі частіше, операційних витрат (opex) з часом. Масштабованість використання PKIaaS дозволяє вашому внутрішньому PKI розвиватися разом із вашою організацією, усуваючи багато проблем, з якими стикаються внутрішні команди під час керування та обслуговування системи.
Традиційний внутрішній PKI
Традиційна локальна приватна PKI – це та, яку ви створюєте, розміщуєте, керуєте та захищаєте за допомогою власних ресурсів і персоналу. Однак цей самодостатній підхід передбачає багато очевидних і не дуже витрат і вимог до ресурсів:
- Купівля та надійне зберігання дорогого обладнання на місці
- Налаштування кореневого ЦС, проміжних ЦС та/або ЦС видачі
- Наявність персоналу зі спеціальними знаннями для встановлення та налаштування всього у відповідний спосіб
- Утримання та навчання внутрішнього персоналу, який може експлуатувати та обслуговувати системи
- Запуск щоденного життєвого циклу сертифіката та операцій з керування ключами
- Самостійне вирішення проблем, пов’язаних з PKI
- Оновлення інфраструктури та збільшення ліцензій на програмне забезпечення відповідно до потреб вашої організації чи бізнесу
- Дотримання стандартів конфіденційності та безпеки даних і нормативних вимог
Це також часто передбачає або використання комбінації сторонніх компонентів і програмного забезпечення, або створення власних систем самостійно. Звісно, маючи належне ноу-хау, ви можете вручну налаштувати власний центр сертифікації та почати роботу з внутрішнім PKI. Але це означає, що без відданої команди експертів, яка займатиметься цим, інші важливі проекти, які ви плануєте, відпадуть на другий план, що призведе до зміни пріоритетів і втрати можливостей зосередитися на інших важливих завданнях.
PKI як послуга
Загалом, постачальник послуг бере на себе основний тягар обов’язків щодо спрощення та оптимізації процесів для вас. Наприклад, DigiCert подбає про:- Налаштування та підтримка апаратної інфраструктури, яка зберігається в захищеному об’єкті тобто на місці розташування постачальника або його безпечного стороннього центру обробки даних
- Налаштування будь-якого необхідного програмного забезпечення та ліцензування відповідно до потреб вашої організації
- Створення та розгортання відповідної приватної ієрархії ЦС для забезпечення видачі довірених сертифікатів кореневий ЦС і один або більше ЦС, що видають
- Створення та підтримка ваших служб ЦС для забезпечення відповідності
політики сертифікації/заяви про практику сертифікації (CP/CPS) та аудити
сервер списків відкликаних сертифікатів (CRL)/протоколу статусу онлайнових сертифікатів (OCSP).
доступ до інформації органу (AIA) - Надання попередньо налаштованих і настроюваних профілів сертифікатів
- Збалансування зручності використання та забезпечення відповідності
Кожен пункт у цьому списку може бути днями роботи, тобто тижнями або місяцями з точки зору роботи з нуля. Такий підхід, пов’язаний із залученням рук, дає вам можливість зосередитися на інших пріоритетах і працювати над тим, з чим можете впоратися лише ви.
| Responsibilities | Traditional On-Prem PKI | PKI as a Service (PKIaaS) |
| Uptime of Service | You’re responsible for maintaining service uptime | Your mPKI provider is responsible for maintaining service uptime |
| Root/ICA Key Management | You’re responsible for securely storing and managing your Root and ICA keys (ideally, using an HSM) | The PKIaaS provider stores and manages your root and ICA keys using their secure hardware |
| Leaf Key Management | You’re always responsible for managing your endpoint certificate keys | You’re always responsible for managing your endpoint certificate keys |
| Certificate Lifecycle Management | You’re responsible for managing all digital certificates, including your root and ICA certificates | You’re responsible for managing your leaf (endpoints and users) certificates. Root and ICA certificates are at least partially managed by the provider. |
| Integrations | You’re typically responsible for building certificate automation and integrations in your systems | Most PKI providers offer a wealth of pre-built integrations you can use |
| Access Management | You’re responsible for managing your users and figuring out how to integrate with Active Directory or InTune | Some PKIaaS platforms often integrate with Active Directory (AD) and Microsoft InTune |
| Certificate Profiles | You’ll be responsible for creating and maintaining any certificate profiles | Some PKIaaS providers have certificate profile templates, which you can customize as you choose |
| Hardware Acquisition and Management | You have to buy, set up, and configure your servers, load balancers, HSMs, and other hardware | The managed PKI service provider uses its secure hardware so you don’t have to worry about it |
| Validation Infrastructure Management and Maintenance | You’re responsible for keeping a CRL/OCSP server available | The mPKI provider is responsible for handling this |
| IT and Cybersecurity Operations (Updates and Patches, Firewalls, etc.) Relating to the PKI | You’re responsible for everything | The PKIaaS provider handles your PKI IT and cybersecurity operations on the back end |
| Creating and Maintaining PKI Policies and Procedures | This is all on you, including any audits and your CP/CPS documents | The mPKI provider will take care of all this for you, including your CP/CPS and audit documents |
| Failovers and Backups | You’re responsible for handling these tasks | The service provider will handle these tasks for you |
| Software Acquisition and Licenses | You’re responsible for handling this, too | The PKIaaS provider can offer this at a cost |
| Support | You handle this using your in-house team or will have to hire a third-party provider | Support is included as part of your PKIaaS plan |
| Admin and End-User Training | You’re responsible for training your staff or hiring a third party to do it | PKI service providers typically offer this service at a cost |