现代化公钥基础设施：如何无限制地建立信任？

现代化公钥基础设施：如何无限制地建立信任？

公钥基础设施（或 PKI），也称为密钥管理基础设施，是一种经过验证的用于在数字交易中建立信任的解决方案。 但近几十年来，适用于它的用例发生了很大变化，并继续快速发展。 在安全性方面，例如，基于多云和远程办公的模型的兴起，有利于基于对每台机器身份的信任的安全性，无论使用何种网络，而不是保护网络边界。 不幸的是，现有的 PKI 部署有时无法适应这种演变。

在这种情况下，公司应该记住什么来现代化他们的 PKI 基础设施并使其可用于更多当前的用例？

公钥基础设施在企业中不断变化的角色

对于当今的商业计算至关重要，PKI 致力于在各种数字用例中建立信任，这些用例不仅适用于人，也适用于机器。 最常见的业务场景有：

• Web 服务器的 SSL/TLS 证书
• IoT（物联网）设备的相互认证和加密货币
• Wifi 网络上的身份验证
• 允许访问多云服务的临时证书，例如容器和工作负载
• 数字签名和加密货币以保护设备之间的电子邮件交易所
• 移动应用程序和移动设备的可信访问
• 网络设备的路由器和防火墙之间的身份验证
• DevOps 团队的容器和软件构建签名

PKI 活动在两个领域达到顶峰：DevOps 领域和移动设备。 事实上，公司正在对他们的云基础设施进行现代化改造，他们的员工越来越多地使用各种设备远程工作。

不幸的是，大多数公司坚持使用的现有 PKI 平台被证明过于复杂和昂贵，并且排除了允许管理这些新用例的任何容量增加。 基于过时和缓慢的基础设施，他们无法满足这些新场景带来的需求，即云迁移、混合工作和物联网设备。 此外，他们通常使用的不同工具限制了安全团队对证书和公司策略的可见性，使安全团队更难管理证书和防止某些问题（例如故障）。

除了这些基础设施方面的困难之外，许多团队没有必要的资源来管理这些 PKI 程序，专门用于公钥基础设施的配置文件很少且需求量很大，它们很难招募并且保留成本很高。

实现 PKI 现代化的最常见障碍：Microsoft 证书颁发机构

企业在实现 PKI 基础架构现代化的过程中面临的最常见挑战之一是他们继续依赖 Microsoft 证书颁发机构 (CA) 或 Active Directory 证书服务 (ADCS)。

Microsoft CA 自 2000 年以来一直存在，虽然多年来有多个版本，但自推出以来几乎没有变化。 因此，当公司努力使用这个已有 20 多年历史的解决方案来满足他们当前的 PKI 需求时，他们遇到了严重的障碍，包括：

• 操作困难 – Microsoft CA 仅允许每台服务器使用一个 CA。 目前，企业每天都要从各个CA颁发新的证书，其大规模的影响极其复杂。
• 有限的集成——如果 Microsoft CA 与本地 Microsoft 基础架构很好地集成，它就会停在那里。 缺乏集成支持很难与公司正在转向的多云环境相协调。
• 缺乏支持——微软完全意识到这些限制，正在退出与其 CA 相关的支持或开发活动； 换句话说，其解决方案的限制与当前使用场景之间的不匹配只会越来越大。

幸运的是，在云中对 PKI 基础设施进行现代化改造有几种可能的途径：

• 托管 PKI – PKI 基础架构由经验丰富的第三方在云中部署、托管和管理。 通过外包基础设施及其管理，公司不必担心内部拥有 PKI 专业知识，并且可以轻松使用该计划颁发的证书。
• SaaS/云模式中的 PKI——PKI 基础架构由公司在云中部署、托管和管理。 在这种情况下，后端基础设施由第三方托管和维护，但公司管理自己的程序，从安全策略的开发、证书的颁发到生命周期的持续管理。
• 混合 PKI – PKI 基础架构在本地部署、托管和管理，然后与云服务集成。 这种方法需要内部 PKI 配置方面的专业知识以及对服务器和其他基础设施元素的控制。 混合 PKI 平台最适合工业场景，在这些场景中，公司拒绝依赖远程工厂的 Internet 连接，但仍需要（通过 Internet）访问这些设备以更新其证书并确保更新软件。

即使对于使用 Microsoft Azure 迁移到云的公司来说，这些困难也是一个主要障碍，因为 Microsoft 不在那里提供其 PKI 解决方案。

在云中实现 PKI 基础架构现代化，这一想法正在普及

作为评估过程的一部分，公司必须考虑需求，例如适用于公共或私有 CA 的信任标准、安全和保证级别、要部署的使用场景、可扩展性和可用性PKI 解决方案，以及实施和管理 PKI 计划所需的专业知识。 同样重要的是要考虑公司对云的成熟度（以及其未来计划），以便区分需要保留在防火墙后面的内容和可以迁移到云的内容。