Doe mee met PKI-automatisering
Certificate Lifecycle Management (CLM) en Public Key Infrastructure (PKI) zijn termen die zelfs bij de meest doorgewinterde IT-veteraan de ogen doen rollen. Bij GlobalSign weten we dat dit waar is omdat we CLM en PKI regelmatig bespreken en we dit vaak zien. PKI is wat we doen – als we eerlijk zijn, zijn we waardeloos op feestjes, maar net als bij een door werk geobsedeerde advocaat of een overijverige boekhouder is het dat wat ons goed maakt in wat we doen.
Bovendien vragen we niet om naar uw feestje te komen, wij zijn er om u te helpen uw PKI te stroomlijnen en te automatiseren – zoals wij al meer dan 25 jaar doen.
Iedereen wil tot op zekere hoogte zelfvoorzienend zijn. Maar als uw auto problemen heeft, belt u een monteur. In het begin van onze carrière proberen we misschien zelf onze belastingen te doen, maar als onze financiën ingewikkelder worden, zoeken we een accountant.
Public Key Infrastructure is nog nooit zo wijdverspreid en complex geweest als nu. Dus waarom zou een organisatie, vooral een onderneming, dit allemaal zelf proberen te beheren? Het is van cruciaal belang dat u weet wanneer u naar expertise moet zoeken.
De Auto Enrollment Gateway (AEG) van GlobalSign is een allesomvattende tool voor de automatisering van de levenscyclus van certificaten die het hele netwerk van een organisatie kan bereiken, naar elk eindpunt dat digitale certificaten nodig heeft, en het beheer van hun hele levenscyclus kan automatiseren.
We beseffen dat dat een behoorlijk lange zin is om te ontleden. In deze blog gaan we het hebben over de veranderingen in het PKI-landschap, het effect dat dit zal hebben op organisaties en gaan we dieper in op AEG – inclusief hoe dit het netwerk van een organisatie veiliger, efficiënter en flexibeler kan maken.
De huidige toestand van het PKI-landschap
Wanneer we zeggen dat PKI nog nooit zo intensief en complex is geweest, bedoelen we dat organisaties nog nooit zoveel digitale certificaten hebben moeten beheren als nu.
De meest bekende PKI-toepassing is SSL/TLS. Elke website die zichtbaar wil zijn voor moderne webbrowsers heeft tegenwoordig een SSL/TLS-certificaat nodig dat is uitgegeven door een publiekelijk vertrouwde Certificate Authority (CA). Naast veilige verbindingen tussen webservers en klanten wordt PKI ook gebruikt voor het volgende:
- E-mail versleutelen en verifiëren
- Documenten en code digitaal ondertekenen
- Multifactorauthenticatie
- De identiteit van werknemers en machines verifiëren
- Interne netwerkverbindingen beveiligen
- Smartcard-logins mogelijk maken
Als u denkt aan de manier waarop we werken na Covid-19 – steeds vaker in externe en hybride werkomgevingen – wordt PKI al snel de ruggengraat van de digitale werkplek, die helpt om de netwerktoegang te beveiligen en tegelijkertijd authenticatie en encryptie in meerdere contexten mogelijk maakt. Maar afgezien daarvan zijn er twee belangrijke externe factoren die de huidige explosie van het gebruik van PKI-certificaten stimuleren.
Verkorte geldigheidsduur van certificaten
Het CA/Browser Forum bepaalt de basisvereisten waaraan alle publiekelijk vertrouwde CA's moeten voldoen. Het bestaat uit verschillende werkgroepen die voortdurend proberen de veiligheidsnormen voor digitale certificaten te verbeteren. In de afgelopen tien jaar is de levensduur, of geldigheid, van deze certificaten geleidelijk verminderd als gevolg van diverse veiligheidsincidenten, en ook door bezorgdheid over de vraag hoe lang de informatie in deze certificaten kan worden vertrouwd. Deze wijzigingen zijn begonnen met SSL/TLS-certificaten, waar de geldigheid is teruggebracht tot slechts 397 dagen (13 maanden), voordat ze van toepassing werden op andere typen certificaten zoals S/MIME en Code Signing. Tegenwoordig is de beste praktijk om digitale certificaten ten minste eenmaal per jaar te vervangen en veel organisaties kiezen er zelfs voor om dit vaker te doen, namelijk om de zes maanden.
Een kortere geldigheid betekent uiteraard een hogere taakfrequentie om nieuwe certificaten uit te geven ter vervanging van de oude en deze te installeren op alle benodigde eindpunten. Eens in de paar jaar was al vervelend; dit jaarlijks doen betekent een aanzienlijke werklast voor uw IT-personeel, vooral als de data over het jaar worden gespreid.
Extended Key Usage
Extended Key Usage (EKU's) is een ander gebied dat het CA/B Forum heeft verfijnd. In zo eenvoudig mogelijke bewoordingen verwijzen EKU's naar de soorten cryptografische functies die een bepaald sleutel- of certificaatpaar kan uitvoeren. In het verleden konden organisaties digitale certificaten uitgeven aan hun werknemers die meerdere functies konden vervullen. U kon ze bijvoorbeeld gebruiken voor de authenticatie van klanten, het ondertekenen en versleutelen van e-mails en het ondertekenen van documenten. Helaas was het gemak van meerdere EKU's ook een risico. Een gecompromitteerde sleutel is veel gevaarlijker wanneer hij voor meerdere dingen kan worden gebruikt dan voor slechts één doel. De verschillende CA/B-forum-werkgroepen schrijven daarom voor dat elk certificaat slechts één EKU mag hebben.
In de praktijk betekent dit dat wanneer een nieuwe werknemer in dienst treedt, u hem of haar niet zomaar een multifunctioneel digitaal certificaat kunt geven. U moet drie verschillende certificaten uitgeven met de juiste EKU.
Om de zaken nog ingewikkelder te maken ...
Uw IT-team heeft waarschijnlijk niet de bandbreedte of expertise om PKI op schaal te beheren
Momenteel is er een groot gebrek aan competenties in de cyberbeveiligingsindustrie. Uit een studie van (ISC)2 uit 2023 blijkt dat het tekort aan cyberbeveiligingstalent in 2022 met 26% is toegenomen. En als uw organisatie behoort tot de 43% die actief op zoek is naar IT-/cyberbeveiligingstalent, dan bent u zich daar terdege van bewust.
Beveiligingsteams zijn al overbelast en volgens Gartner heeft de gemiddelde onderneming 50-70 verschillende programma's in gebruik en in beheer. Nu organisaties zo wanhopig op zoek zijn naar talent, wordt PKI, dat al een beetje een niche is, een vaardighedenpakket dat men graag wil hebben, niet een dat men absoluut moet hebben. Maar dat verandert niets aan het feit dat PKI essentieel is voor de dagelijkse activiteiten en dat de werklast alleen maar toeneemt naarmate uw organisatie groeit. Volgens het (ISC)2 onderzoek is het niet alleen moeilijk om goed beveiligingstalent te vinden en aan te nemen, maar ook om het te behouden.
Als u het certificaatbeheer niet automatiseert en de werklast en saaiheid niet vermindert, kunt u net zo goed een draaideur in uw IT-kantoor installeren, want de belangrijkste reden waarom beveiligingsmedewerkers vertrekken is dat er te veel vervelende e-mails en taken zijn.
Maar daarnaast is er ook nog ...
De kostenfactor van het beheren van uw eigen PKI
Naast de zojuist besproken problemen met een toename van de werklast en de strijd om het juiste personeel te vinden om dit alles te beheren, is er ook de kwestie van de kosten die gepaard gaan met het beheer van uw eigen PKI. Maar dat is een heel ander gespreksonderwerp, zozeer zelfs dat we er een heel e-book over hebben geschreven – u kunt het hieronder bekijken.
AEG is een engine voor certificaatautomatisering
Nu we het probleem in kaart hebben gebracht, gaan we het hebben over de oplossing: AEG.
De Auto Enrollment Gateway maakt verbinding met de Active Directory van uw organisatie en gebruikt een reeks protocollen en integraties met verschillende MDM-platforms (Mobile Device Management) om uw hele netwerk te bestrijken en digitale certificaten op alle eindpunten te beheren.
Eindpunten omvatten:
- Client- en machine-identiteiten
- Beveiligde e-mailcertificaten (S/MIME)
- Digitale ondertekening
- SSL/TLS
- Multifactorauthenticatie (MFA)
- Sleutelkaarten
Alles wordt beheerd via een gebruiksvriendelijk dashboard waar de volledige levenscyclus van certificaten voor elk eindpunt in uw netwerk kan worden gescript en bewaakt vanaf één locatie.
AEG wordt aangedreven door Atlas, het digitale identiteitsplatform van GlobalSign, dat is ontworpen om u de flexibiliteit te geven om particuliere certificaten uit te geven via een speciale tussenliggende root, of om publiekelijk vertrouwde digitale certificaten uit te geven – dit is een van de belangrijkste redenen om rechtstreeks met een vertrouwde CA te werken. Met meer dan 25 jaar PKI-ervaring en als wereldwijde leider in digitale ondertekening kan GlobalSign de certificaten leveren. Andere externe leveranciers kunnen een kader bieden voor het beheer van digitale certificaten, maar u hebt nog steeds een CA nodig om ze allemaal uit te geven, vooral SSL/TLS en S/MIME. Dat verhoogt de kosten en de complexiteit.
AEG biedt niet alleen het kader om uw portefeuille van digitale certificaten te beheren, het is ook de pijplijn.
Bovendien zijn we er trots op te kunnen aankondigen dat we zojuist versie 7.9 hebben uitgebracht!
Wat is er nieuw in AEG 7.9?
Een van de grootste uitdagingen waarmee organisaties tegenwoordig worden geconfronteerd, is Bring Your Own Device (BYOD). Steeds meer werknemers hebben toegang tot bedrijfsnetwerken via mobiele apparaten, tablets, pc's enz. Hoewel veel bedrijven hier een strikt beleid tegen voeren, wordt het steeds moeilijker om hieraan vast te houden.
In AEG 7.9 zijn wij nu volledig geïntegreerd met Microsoft InTune, waardoor sleutels en certificaten kunnen worden gebruikt met mobiele apparaten. Dit betekent dat werknemers veilig toegang hebben tot netwerkactiva en versleutelde e-mails kunnen lezen op hun mobiele apparaten zonder nog meer certificaten toe te voegen. In eerdere releases waren we al geïntegreerd met JAMF, waardoor AEG de volledige mogelijkheid had om digitale certificaten te beheren op elk type mobiel apparaat, of dat nu iOS, Android of Windows is.
Daarnaast hebben we de gebruikerservaring verbeterd en beheerders beter inzicht gegeven in hun PKI-implementatie door regelmatig geplande rapportage toe te voegen. Terwijl handmatige rapportage al beschikbaar was via het dashboard, kunnen rapporten nu worden gescript om op regelmatige tijdstippen te worden uitgevoerd en naar de relevante beheerders worden gestuurd.
AEG heeft de tools om krachtige ondersteuning te bieden bij het beheer van uw PKI, want automatisering is nog nooit zo hard nodig geweest. Het automatiseren van PKI bespaart organisaties aanzienlijke kosten, vermindert de werklast en verbetert de cryptovriendelijkheid en de veiligheidspositie. Het beste van alles is dat u samenwerkt met GlobalSign, een wereldwijde PKI-leider, publiekelijk vertrouwde CA en gekwalificeerde aanbieder van vertrouwensdiensten.
Nog steeds niet overtuigd?
Lees ons e-book over de verborgen kosten van Microsoft CA
Duik in onze datasheet voor meer details.
Of neem contact met ons op om ons te vertellen wat u wilt doen en wij laten u zien hoe AEG u daarbij helpt.
