Le informazioni dell'azienda sono preziose come ogni altro asset. Aggiungere ulteriori livelli di sicurezza a sistemi e dati critici non è più solo un'opzione, ma una necessità. Con la PKI, puoi utilizzare metodi di autenticazione e crittografia avanzati per ridurre i rischi per la tua rete.
L'infrastruttura a chiave pubblica (PKI) è un sistema di processi, tecnologie e policy che consente di crittografare e firmare i dati. Con la PKI puoi emettere certificati digitali che autenticano l'identità di utenti, dispositivi o servizi. Tali certificati creano una connessione protetta sia per le pagine web pubbliche sia per i sistemi privati, come ad esempio le reti private virtuali (VPN), il Wi-Fi interno, le pagine Wiki e altri servizi che supportano la MFA. Hai qualche domanda?
La PKI per privati ti consente di emettere i tuoi personali certificati SSL privati da una speciale root intermedia spesso gestita da una CA pubblicamente attendibile. Questo ti permette di personalizzare i certificati in base alle tue esigenze e di distribuire certificati on-demand a scopi interni.
L'infrastruttura a chiave pubblica (PKI) è un sistema di processi, tecnologie e policy che consente di crittografare e/o firmare i dati. Con la PKI puoi emettere certificati digitali che autenticano l'identità di utenti, dispositivi o servizi. Questi certificati funzionano sia per le pagine web pubbliche che per i servizi interni privati (ad esempio, per autenticare i dispositivi che si connettono alla tua VPN, Wiki, Wi-Fi, ecc.)
Con l'infrastruttura a chiave pubblica (PKI), puoi aumentare sensibilmente il livello di sicurezza della tua rete. I tre vantaggi principali grazie ai quali questo avviene:
Ecco alcuni esempi dei casi d'uso più comuni della PKI:
La crittografia end-to-end ha luogo quando un messaggio viene crittografato sul tuo dispositivo e quindi decrittografato sul dispositivo del destinatario. Questo vuol dire che nessuna terza parte potrà intercettare i dati sensibili.
Un'autorità di certificazione (CA) è una terza parte attendibile che verifica l'identità di un'azienda che richiede un certificato digitale. Dopo aver verificato l'identità dell'azienda, la CA emette un certificato e vincola l'identità di quell'azienda a una chiave pubblica. Il certificato digitale risulta quindi affidabile perché è legato al certificato radice della CA.
Un certificato digitale funge da garanzia per l'identità del titolare. Proprio come la patente di guida, il certificato viene emesso da una terza parte affidabile, non può essere contraffatto e contiene informazioni identificative.
Le chiavi pubbliche e private sono utilizzare per crittografare e decrittografare le informazioni. Solo la chiave privata può decrittografare le informazioni crittografate dalla chiave pubblica. Questa coppia di chiavi viene definita crittografia asimmetrica (in quanto la crittografia avviene utilizzando chiavi non identiche). Tra le due chiavi vi è una correlazione matematica, ma è impossibile determinare una chiave utilizzando l'altra.
Un certificato root fornisce la firma quando vincola un'identità alla chiave pubblica. È in questo modo che puoi stabilire se un certificato è valido, e se puoi considerarlo affidabile.
In breve, la risposta è sì. DigiCert offre soluzioni sia per PKI pubblica che privata, oltre a una piattaforma e un'API RESTful, che ti consentono di automatizzare la gestione dei certificati e personalizzare i flussi di lavoro PKI. Per l'acquisto di certificati SSL pubblici, è possibile che tu abbia collaborato solo con una CA commerciale. Essendo questa il tuo unico punto di riferimento, forse immagini che i certificati privati hanno costi simili a quelli dei certificati pubblici, ma non è così. L'emissione di un certificato pubblico con DigiCert ha un costo decisamente inferiore a quello di un certificato pubblico.
I tecnici della sicurezza e gli amministratori a volte pensano erroneamente che una PKI privata in hosting li limiterà a determinati profili di certificati. Pensano anche che potranno accedere solo a profili di certificati approvati dal CA/Browser Forum. DigiCert può invece fornirti qualunque profilo di certificato tu voglia. Questi profili di certificati non devono essere del tipo SSL/TLS, e nemmeno X.509.
La PKI gestita (MPKI) è una soluzione fornita da una CA che ti consente di iniziare ad automatizzare i processi dei certificati e a personalizzare i flussi di lavoro PKI. Quando la tua organizzazione arriverà a un punto in cui le servirà un elevato volume di certificati, avrai a disposizione una soluzione MPKI che semplifica la gestione dei certificati.
Puoi proteggere i tuoi servizi interni (ad es. VPN, Wi-Fi, Wiki, ecc.) utilizzando una CA interna. In genere, le aziende per questo si affidano alla CA Microsoft. Tuttavia, creare e mantenere una CA interna può essere dispendioso in termini economici e di tempo. Prima di decidere, dovresti considerare con attenzione i costi di ciascuna soluzione. Molte CA forniscono soluzioni in hosting che ti consentono di risparmiare sui costi di hardware, software e personale previsti dalla creazione di una PKI interna.
Una policy di certificazione (CP) è un documento creato per identificare i diversi attori di una PKI e i loro ruoli e compiti. La CP delinea le pratiche quali le modalità di utilizzo dei certificati, le modalità di scelta dei nomi dei certificati, in che modo devono essere generate le chiavi e molto altro ancora. La CP associata è solitamente specificata nel capo dei certificati X.509. Per informazioni più dettagliate sulla CP, consulta il documento di riferimento aggiornato (RFC 3647): https://tools.ietf.org/html/rfc3647
L'archiviazione delle chiavi consiste nel riporre in sicurezza la chiave privata in caso di smarrimento. Ai fini della conformità FIPS e per garantire il massimo livello di sicurezza, consigliamo di archiviare le chiavi utilizzando un modulo di sicurezza hardware (HSM).
Un HSM è un'opzione di crittografia basata su hardware per l'archiviazione sicura delle chiavi. In genere, gli HSM si trovano fisicamente on-premise, e per la loro manutenzione sono necessarie delle risorse interne. Questo può risultare costoso, ma esistono anche delle opzioni più economiche. Per esempio, Microsoft Azure Key Vault offre un'archiviazione sicura delle chiavi nell'HSM cloud di Microsoft. Se la tua azienda è piccola o non hai le risorse per acquistare e mantenere un HSM, Microsoft Azure Key Vault può essere una soluzione valida. Alcune CA pubbliche, tra cui DigiCert, offrono l'integrazione con Microsoft Azure.
Per iniziare, devi valutare il tuo ambiente tenendo conto delle tue esigenze e delle tecnologie che utilizzi. Come prima cosa, ti suggeriamo di seguire questi cinque step:
Se hai bisogno di assistenza, contatta uno dei nostri esperti PKI all'indirizzo enterprise@digicert.com.