Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

PKI – Гибридная – корневой ЦС в дата-центре

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Поддержка PKI в гибридной архитектуре: Корневой CA в дата-центре и Issuing CA в облаке
  4. Введение
  5. Политика Сертификации
  6. Архитектура Гибридного PKI
  7. Риски и Соображения
  8. Заключение

Вопрос или проблема

PKI – Можем ли мы поддерживать корневой УЦ и НСМ в нашем дата-центре и иметь выданный УЦ в облаке для выдачи сертификатов, интегрированного с облачным НСМ?

Формальный ответ: “Проверьте вашу Политику сертификатов (CP)”

Но, поскольку вы задали этот вопрос, справедливо предположить, что у вас нет CP.

CP определит ваши политики, касающиеся генерации, хранения, использования и управления ключами, а также других факторов, таких как обучение, физическая и сетевая безопасность, политика запроса сертификатов и т.д. CP следуют заранее определенному формату для удобства, который описан в RFC 3647

Тем не менее, ваше предложение – довольно стандартная схема в наши дни, учитывая распространение облачных развертываний.

Держите ваш корневой УЦ оффлайн, с НСМ. Если можете, используйте USB или PCIe НСМ для этого и используйте его только для подписания сертификатов выданного УЦ(ов) и для генерации CRL.

Ваш выданный УЦ может находиться в облаке с облачным НСМ.

Имейте в виду, что при такой настройке образ УЦ (например, образ живого диска или резервная копия) может быть доступен операторам вашего облачного провайдера. Существует риск того, что они (или какая-то третья сторона) могут получить доступ к любым парольным фразам, сертификатам или ключам, необходимым для доступа к вашему НСМ.

Альтернативой было бы также разместить это в вашем дата-центре, где вы можете больше доверять операторам; или гибрид, где ваш УЦ находится в дата-центре, а НСМ в облаке (снова, в зависимости от вашего уровня доверия к этим провайдерам).

В конце концов, это ваше решение, которое обычно будет формально определено в вашем CP.

Ответ или решение

Поддержка PKI в гибридной архитектуре: Корневой CA в дата-центре и Issuing CA в облаке

Введение

Вопрос о хранении корневого Центра Сертификации (CA) и аппаратного модуля безопасности (HSM) в локальном дата-центре при наличии Issuing CA в облаке становится все более актуальным из-за расширения облачных решений. Правильная реализация данной архитектуры требует четкого понимания политики сертификации (Certificate Policy, CP), рисков и стандартов безопасности.

Политика Сертификации

Прежде всего, необходимо подчеркнуть важность наличия корректной и актуальной Политики Сертификации. CP определяет ключевые компоненты управления криптографическими ключами, в том числе генерацию, хранение, использование и управление сертификатами, что является основой для создания надежной PKI. Стандарт RFC 3647 представляет собой один из основных форматов для создания политики сертификации, обеспечивая структуру и консистентность.

Архитектура Гибридного PKI

  1. Офлайн Корневой CA:

    • Корневой CA управляется в изолированном режиме, что минимизирует риски компрометации. Рекомендуется использовать аппаратные модули безопасности (HSM), такие как USB или PCIe устройства, исключительно для подписи сертификатов Issuing CA и генерации списков отзыва сертификатов (CRLs).

  2. Issuing CA в Облаке:

    • Issuing CA может функционировать в облачной среде с интеграцией облачного HSM для выпуска сертификатов. Это позволяет гибко управлять сертификатами, быстро реагировать на изменения и обеспечивать доступ по запросам.

Риски и Соображения

При использовании облачного решения ключевым моментом является доверие к облачному провайдеру. Ваша конфигурация может подвергнуть риску такие аспекты, как:

  • Доступность образа CA (например, live-диск или резервные копии) для операторов облачного провайдера.
  • Возможность несанкционированного доступа к паролям, сертификатам или ключам, необходимым для работы HSM.

В связи с этим, возможно, стоит рассмотреть альтернативные варианты:

  • Полное размещение CA в вашем локальном дата-центре.
  • Гибридный вариант, где CA располагается в дата-центре, а HSM находится в облаке, в зависимости от уровня доверия к вашим провайдерам.

Заключение

В конечном итоге решение о распределении ресурсов в архитектуре PKI зависит от глубины доверия к вашим провайдерам и уровню необходимой безопасности. Определение всех аспектов в Политике Сертификации поможет сформировать надежную и защищенную систему управления сертификатами. Обязательно учитывайте потенциальные угрозы и риски при планировании вашей PKI, чтобы обеспечить целостность и защиту данных в вашей организации.

public-key-infrastructure
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности