过时的证书生命周期管理是否会让贵企业“裸奔”?

网络、
IAM和SecOps管理人员告诉您关于风险和资源安排的四个真相

Arrow Scroll
过时的证书生命周期管理是否会让贵企业“裸奔”?
Author Sean Crouch
Date 03-22-2023
Download
Trust Lifecycle Manager eBook
RELATED RESOURCE

DigiCert® Trust Lifecycle Manager数据表>

目录

  1. 过时的证书生命周期管理是否会让贵企业“裸奔”?
  2. 这对证书
    生命周期管理而言意味着什么?
  3. 您如何判断过时的证书生命周期管理是否会让贵企业“裸奔”?

 

第一部分

过时的证书生命周期
管理是否会让贵企业“裸奔”?

如果您关注组织的数字信任,您就会知道在过去几年挑战重重。从向远程办公的转变到攻击数量和种类的快速增加,网络、IAM和SecOps团队被迫处理日益增加的问题以及大规模的快速转变。

在有些情况下,例如对于PKI证书,这些变化和复杂性的增加让人们注意到,如果没有为当今的环境构建工具和流程,赶上安全性的步伐难度有多大。

在过去几年中,我们一直在与PKI证书操作团队的管理人员讨论在现实世界开展数字信任工作的感受。以下是我们听到的情况。

DigiCert Trust Lifecycle Manager

*2021 DigiCert调查
 

1. 前一天安全性还是拉锯战,后一天就变成四处救火

“没人乐意在半夜被电话吵醒,被告知自己的服务中断。”

利益之争引发持续不断的拉锯战。我能让此解决方案或服务实现怎样的可靠性? 我的预算是多少? 我的时间计划是什么? 我如何验证一切在正常运行并将持续正常运行? 如果时间计划缩短,那么您需要找到更多的资源。但这又会让预算捉襟见肘,并迫使您的团队只能专注某些问题,而无法同时专注于另一些问题。

与此同时,意外事件层出不穷,几乎没有一天能按计划推进。于是拉锯战变成了四处救火。网络团队出现意外中断。手动移除身份团队的离职员工。您和您的团队需要救的火越多,用在其他项目上的时间就越少。在您试图实施一种主动式解决方案来帮助改进您所分管的所有领域的职能后,安全性就变成了一项应对式的任务。

Tlm Icon1

更短且不断变化的证书有效期提高了监测与续订频率。

不断扩展的企业基础设施让更多的证书得以颁发而网络IT却对此一无所知。


2. 太多的重要流程速度缓慢而且往往都要手动操作

“理想的情况是,让一切都成为商品。您希望看到的是,如果出现问题,修复程序会自动推出,而您只会收到一个通知。”

您的员工是您最重要的财富。但是您的员工需要睡眠。他们会犯错。他们在教育、经验、风格甚至技术直觉方面都各不相同。管理需要手动操作的职能会占用用于其他职能的时间,并让您的员工不堪重负。

在许多情况下,管理复杂的大型企业基础设施的团队仍在使用电子表格和电子邮件来管理其部分证书环境。即使能在工作时间内对问题做出快速响应,也可能导致停机、运营中断,或者给客户或员工带来极差的用户体验。

其解决方案是自动化,但许多自动化工具都是各自为政的证书管理器,它们覆盖了您的证书环境。您不得不设置这些第三方和不限定CA的解决方案,这需要花钱,而且其工作流程功能往往有限。如果您要构建自定义API来与其进行集成,或者您需要多个软件解决方案来管理不同的用例,那么资源负担并没有消失,而只是转移到了团队的另一个领域——这是拉锯战的又一个例子。

免费CA极为有限,而DIY PKI无法被轻松更新以适应不断发展变化的需求。

目前,证书中断的行业标准恢复时间是以小时计,而不是以分钟计。

Tlm Icon 2

3. 很多解决方案都不能解决问题,而且您不得不自行构建解决方案。

“智能技术的搞笑之处在于,它们是先智能后智障。”

当涉及实际使用时,您的团队职责与另一个团队不同,而后者的职责也与又一个团队不同。为了使您的证书发挥作用,您需要适用于您的用例和资源的解决方案。然而,当需要为管理、自动化、通知或集成寻找软件解决方案时却发现,许多解决方案无法实现其所承诺的功能,或只能提供部分功能。

因此,如果您不购买多个证书管理器和CA,您就会改用零碎的解决方案并构建自己的工具和流程,其原因是您没有预算,或者找不到能满足需求的预构建系统。但DIY解决方案的构建需要时间,而且必须对其进行管理。对于证书,内部CA需要足够的PKI专业知识来进行正确的配置,而且还没有自动化。这意味着您的团队要在管理方面付出更多的努力,而且后续还可能出现问题。

Tlm Icon3

不限定CA的管理软件不提供集成的可靠性和复原能力。

供应商解决方案很少提供适用于特定团队需求的工作流程。

4. 用相同或更少的资源做更多的事会让安全性更难以实现

“企业正在努力寻找在实现增长的同时削减预算的方法,这意味着要创造性地用更少的钱做更多的事。”

尽管在过去几年中威胁与日俱增,但许多团队的预算和人员都没有按其救火次数的增加而按比例增加。如果团队成员数量不变而且预算还变少了,那么几乎不可能像您原本想要的那样采取主动,缓解风险并简化操作。

与此同时,数字环境正在扩展并变得越来越复杂,甚至对单个组织来说也是如此。每天都有更多的事物实现互联。近年来,团队和团队之间,以及公司内外部之间的边界也在日益模糊。有时很难判断一件事在哪里结束,另一件事从哪里开始。更多的证书意味着更多的管理,但由于流程缓慢或必须手动操作,这意味着有些事物缺失的可能性更大了。随着威胁日益增加,互联日益复杂,风险的增加不仅仅是您的团队面临的问题,它还可能威胁到整个组织。

预计2023年IT预算的增长将低于通胀率的增长。

近年来,IT负责人一直报告称人才短缺是实现技术计划的最重大的障碍之一。

Tlm Icon

 

 
第二部分

这对证书
生命周期管理而言意味着什么?

我们现在看到的是,在大型组织中对证书进行思考和处理的方式需要转变。更多的复杂性、更多的PKI用例和更多的威胁意味着团队需要的是能为任何团队提供卓越的24x7x365全天候信任的解决方案,无论是网络IT、SecOps还是IAM团队。而且这些解决方案需要在实践中发挥作用,而不仅仅是纸上谈兵。

基于我们与这些团队管理者的交谈,证书解决方案需要具备以下特征:

  1. 它需要主动作为而不是被动应对,要消除证书控制的拉锯战和救火问题。
  2. 它需要自动化而不是手动操作,这样就可以减少或消除因人为错误、缺乏可见性和非工作时间问题而造成的风险。它还需要无缝、智能,不涉及或几乎不涉及接触。
  3. 它需要作为一个真正的技术解决方案来运行,而不是作为卖点,这样团队就可以在实际环境中让证书信任发挥作用,而不会遇到问题或需要临时修复。
  4. 它需要在减少威胁风险的同时减少资源负担,这样团队就可以将精力用于其他任务,并确信其证书环境可以轻松运行。
DigiCert Trust Lifecycle Manager

 

 
第三部分

您如何判断过时的证书生命周期管理是否会让贵企业“裸奔”?

CISO和网络架构师应该问自己的10个问题。

您是否拥有用于发现和清点所有证书的单独记录册?

您是否拥有一个可靠的多渠道系统来向合适的团队成员通知问题的出现?

您是否拥有强大的集成功能,不需要您自己编写或授权软件?

您是否发现您现在的IT营业额相比五年前变少了?

您是否发现追踪CA登录次数很容易?

您的PKI基础设施供应商是否少于两家?

IAM和网络团队之间是否有良好的安全协同?

您是否在过去几年中减少了新的数字化解决方案和流程的数量?

您是否建立相关解决方案能让您摆脱自行编写和管理的私有CA或私有PKI?

您是否实现了网络、设备和用户的自动化?

每个“否”的回答都表明,过时的证书管理造成风险敞口的可能性在加大。

正如信息技术界多年来所定义的那样,证书生命周期管理无法满足这些需求。管理复杂性和风险的理想工具将CLM与PKI服务结合在一个全栈解决方案中,该解决方案包括您的团队为定制正常运行的自动化证书环境所需要的各种集成和配置。

我们在这里看到的并不是证书生命周期管理的终结,而是进入信任生命周期管理的下一步,这是一个适用于现实世界证书应用的全面、自动化、技术成熟的解决方案。

您可以通过使用DigiCert® Trust Lifecycle Manager以了解有关消除过时CLM风险的更多信息。查看演示>

DigiCert Trust Lifecycle Manager

版权所有©2023 DigiCert, Inc.。保留所有权利。DigiCert是DigiCert,Inc.在美国及其他国家或地区的注册商标。所有其他商标与注册商标是其各自所有者的财产。

  • DigiCert Logo

    The most-trusted global provider of high-assurance TLS/SSL, PKI, IoT and signing solutions.