Suas informações são tão essenciais quanto qualquer ativo da sua empresa. A adição de camadas extras de segurança aos sistemas e dados mais valiosos não é mais uma opção – é uma necessidade. Com a PKI, você pode usar métodos avançados de autenticação e criptografia para reduzir os riscos à rede.
A infraestrutura de chaves públicas (PKI) é um sistema de processos, tecnologias e políticas para você criptografar e assinar dados. É possível emitir certificados digitais que autentiquem a identidade de usuários, dispositivos ou serviços. Esses certificados criam uma conexão segura para páginas da Web públicas e sistemas privados — como sua rede privada virtual (VPN), o Wi-Fi interno, as páginas wiki e outros serviços que oferecem suporte a MFA. Tem dúvidas?
A PKI privada permite que você emita seus próprios certificados SSL privados de uma raiz intermediária exclusiva, geralmente mantida por uma CA publicamente confiável. Isso permite que você adapte os certificados a necessidades exclusivas e implante os certificados sob demanda para fins internos.
5 etapas para criar uma PKI escalável
Série de entrevistas: Como desenvolver uma PKI
PKI - A solução de segurança para a Internet das Coisas
A infraestrutura de chaves públicas (PKI) é um sistema de processos, tecnologias e políticas que permite criptografar e/ou assinar dados. Com a PKI, você pode emitir certificados digitais que autenticam a identidade de usuários, dispositivos ou serviços. Esses certificados funcionam tanto para páginas da web públicas quanto para serviços internos privados (por exemplo, para autenticar os dispositivos que se conectam à sua VPN, Wiki, Wi-Fi etc.)
Com a infraestrutura de chaves públicas (PKI), você aumenta significativamente o nível de segurança da sua rede. Três benefícios principais permitem isso:
Os casos de uso comuns de PKI incluem, mas não são limitados a:
Na criptografia de ponta a ponta, uma mensagem é criptografada no seu dispositivo, e a descriptografia é feita no dispositivo do destinatário. Isso significa que nenhum terceiro poderá interceptar seus dados confidenciais.
Uma autoridade de certificação (CA) é um terceiro confiável que verifica a identidade de uma organização que solicita um certificado digital. Depois de verificar a identidade da organização, a CA emite um certificado e vincula essa identidade a uma chave pública. Um certificado digital pode ser confiável porque está vinculado ao certificado raiz da CA.
Um certificado digital atesta a identidade do titular. Assim como a carteira de motorista, o certificado foi emitido por um terceiro confiável, não pode ser falsificado e contém informações de identificação.
As chaves públicas e privadas são usadas para criptografar e descriptografar informações. Só a chave privada pode descriptografar as informações criptografadas pela chave pública. Esse par de chaves é conhecido como criptografia assimétrica (porque a criptografia é feita usando chaves não idênticas). As duas chaves estão matematicamente relacionadas, mas é impossível determinar uma chave usando a outra.
Um certificado raiz fornece a assinatura ao vincular uma identidade à chave pública. É assim que você identifica se um certificado é válido e se pode confiar nele.
A resposta curta é sim. A DigiCert oferece soluções para PKI pública e privada, junto com uma plataforma e a API RESTful, que permitem automatizar o gerenciamento de certificados e personalizar os fluxos de trabalho de PKI. É possível que você tenha trabalhado apenas com uma CA comercial para adquirir certificados SSL públicos. Por ele ser seu único ponto de referência, você pode presumir que os certificados privados têm custos semelhantes aos dos certificados públicos – o que não é o caso. A emissão de um certificado digital privado pela DigiCert é uma fração do custo de um certificado público.
Os engenheiros e administradores de segurança às vezes pensam erroneamente que uma PKI privada hospedada os limitará a determinados perfis de certificado. Eles acham que só terão acesso aos perfis de certificado aprovados pelo CA/Browser Forum. No entanto, a DigiCert pode fornecer qualquer perfil de certificado necessário. Esses perfis de certificado não precisam ser perfis de certificado SSL/TLS – eles nem mesmo precisam ser X.509.
A PKI gerenciada (MPKI) é uma solução fornecida por uma CA para você começar a automatizar os processos de certificação e personalizar os fluxos de trabalho de PKI. Quando sua organização chegar ao ponto de exigir um alto volume de certificados, você se beneficiará de uma solução MPKI que simplifica o gerenciamento de certificados.
Você pode proteger os serviços internos (por exemplo, VPN, Wi-Fi, Wiki etc.) usando uma CA interna. As organizações geralmente fazem isso usando o Microsoft CA. No entanto, pode ser caro e demorado criar e manter uma CA interna. Considere cuidadosamente os custos de cada opção antes de decidir. Várias CAs fornecem soluções hospedadas que podem economizar alguns custos de hardware, software e pessoal envolvidos na criação de uma PKI interna.
Uma política de certificado (CP) é um documento criado para identificar os vários envolvidos em uma PKI e os respectivos deveres e funções. A CP especifica práticas; por exemplo, como os certificados podem ser usados, como os nomes dos certificados devem ser escolhidos, como as chaves devem ser geradas e muito mais. A CP associada é normalmente especificada em um campo do certificado X.509. Para obter informações detalhadas sobre CP, consulte o documento de referência mais atualizado (RFC 3647): https://tools.ietf.org/html/rfc3647
O armazenamento de chaves, muitas vezes chamado de arquivamento de chaves, armazena a chave privada com segurança caso ela seja perdida. Para atender à conformidade FIPS e garantir o mais alto nível de segurança, sugerimos armazenar suas chaves usando um módulo de segurança do hardware (HSM).
O HSM é uma opção criptográfica baseada em hardware para armazenamento seguro de chaves. Normalmente, ele está fisicamente no local e requer recursos internos para manutenção. Isso pode ser caro, mas existem opções mais econômicas. Por exemplo, o Microsoft Azure Key Vault fornece armazenamento seguro de chaves no HSM em nuvem da Microsoft. Se sua organização for menor ou não tiver os recursos para comprar e manter o próprio HSM, o Microsoft Azure Key Vault é uma solução viável. Algumas CAs públicas, inclusive a DigiCert, oferecem integrações com o Microsoft Azure.
Para começar, você precisa avaliar seu ambiente, considerando suas necessidades e a tecnologia com a qual trabalha. Sugerimos estas cinco etapas para começar:
Se precisar de ajuda, entre em contato com um de nossos arquitetos de PKI enviando um e-mail para enterprise@digicert.com.