S příchodem IoT, 5G sítí a nových technologií jejich počet i variabilita rostou exponenciálně. Certifikáty zajišťují nezbytnou důvěru a bezpečnost při komunikaci, reprezentují identitu ve virtuálním světě, ale také vyžadují řádnou péči a řízení.
Společnosti se často potýkají s výpadky svých služeb v souvislosti s exspirací certifikátů, s vysokou pracností související se správou certifikátů a nedostatečným zabezpečením v souvislosti s chybně vydanými nebo nedůvěryhodnými certifikáty. To vše má dopad na naše soukromí a pro společnosti představuje vysoké finanční a reputační riziko.
Pro příklad, jaký může mít nesprávné řízení certifikátů dopad, nemusíme chodit daleko. Systém elektronické preskripce, známý jako eRecept, se ve středu 19.1.2022 potýkal s technickými problémy, které způsobily jeho výpadek. Lékaři tak nemohli vydávat elektronické recepty a lékárníci zase léky, a to dokonce ani na dříve vydané a platné e-recepty.
Ministr zdravotnictví Vlastimil Válek k výpadku systému eRecept na tiskové konferenci ve stejný den uvedl, že “Zkolaboval systém certifikátů”. Výpadek, který trval nakonec několik hodin, měl obrovský dopad na celé zdravotnictví.
PKI se stává nedílnou a kritickou součástí systémů a služeb
Informační technologie se dynamicky vyvíjí a roste množství aplikací spoléhajících se na digitální certifikáty. Infrastruktura veřejného klíče (neboli PKI) se stává jednou z kritických součástí fungování celé společnosti. Nové platformy, ale také elektronické služby jsou postavené na virtuální důvěře, která stojí a padá na certifikátech. Tradiční metody správy certifikátů, kdy specialista ručně generuje žádost a komunikuje s interní nebo externí certifikační autoritou, přestávají být udržitelné a efektivní.
V případě nekonzistentních nebo neexistujících pravidel pro řízení certifikátů mohou specialisté vydávat a dokumentovat použití certifikátů vždy jiným způsobem a vnášet do systému důvěryhodných služeb nesoulad, který ve výsledku může vést ke ztrátě důvěry a ke kompromitaci.
Dalšími problémy, s nimiž se mohou instituce potýkat, je nejasná zodpovědnost jednotlivých útvarů za správu certifikátů a nízká flexibilita, pokud je například nutné nahradit větší množství certifikátů provozovaných v rámci sítě. A v neposlední řadě je nutné zmínit, že s rostoucím počtem certifikátů a potřeby jejich řízení neroste stejným tempem počet specialistů s nutnými dovednostmi.
Vzniká potřeba automatizovat procesy spojené s řízením životního cyklu certifikátů
S rostoucí potřebou vzniká nabídka. Řízení certifikátů je možné automatizovat již existujícím nástroji, jako například OpenSSL, Kubernetes, Ansible apod. Nicméně, naším cílem je dosáhnout konzistence, agility, a souladu. A to není jednoduché v případě hybridního prostředí, ve kterém má každé oddělení a každá aplikace jiné požadavky.
Jaké jsou předpoklady pro úspěšné řízení certifikátů a na co bychom měli klást důraz?
Snadná integrace a použití
Čas je jedním z nejdůležitějších aktiv, které si nemůžeme koupit. Snadná a časové dosažitelná implementace a integrace automatizovaného řízení certifikátů je proto vysokou prioritou při navrhování systému a hledání vhodných nástrojů. Tempo rozvíjejících se technologií by nemělo být překážkou. Systém by měl splňovat předpoklady pro snadnou integraci používaných technologii a použití prostřednictvím standardní protokolů jako například ACME, SCEP/EST, REST API.
Přehled a povědomí
Pro efektivní správu důvěryhodných služeb je nezbytné získat přehled o všech certifikátech, které se v infrastruktuře vyskytují. Inventář certifikátů poskytuje jednotný přehled o nalezených a spravovaných certifikátech, včetně jejich validace a souladu s interními politikami, případně standardy. Stav certifikátu se v čase mění, sledování a monitoring stavu je jedním z důležitých nástrojů, jak získat přehled a včas předejít problémům.
Agilita a automatizace
Jak rychle umíme reagovat na potenciální hrozby? Co se stane v případě kompromitace certifikační autority? Jak vyměnit algoritmy, které nejsou bezpečné? Agilita je bezpochyby důležitým prvkem pro efektivní řízení certifikátů. Schopnost změnit certifikační autoritu, nebo parametry certifikátu automatizovaným způsobem je velkou výhodou a úsporou pro každou infrastrukturu.
CZERTAINLY – česká platforma pro řízení životního cyklu certifikátů
Platforma CZERTAINLY je jedním z příkladů, jak lze dosáhnout efektivního řízení důvěry a certifikátů napříč hybridním prostředím. CZERTAINLY je česká platforma pro správu certifikátů, která klade důraz na spojení informačních technologií jednoduchým a uživatelsky přívětivým způsobem při zachování důvěryhodnosti a bezpečnosti.
Navíc, platforma CZERTAINLY je otevřená a má za cíl podpořit bezpečnost ve virtuálním světě, který se dnes již týká každého z nás.