PKI là gì? Doanh nghiệp nên sử dụng CA public hay CA private cho riêng mình?

Đối với các công ty doanh nghiệp có cơ sở hạ tầng web lớn, đôi khi tốt hơn là nên sử dụng PKI của riêng bạn.

Rất nhiều công ty doanh nghiệp có yêu cầu kỹ thuật số lớn đòi hỏi sự chú ý đặc biệt để duy trì và cập nhật. Những thách thức này khác với những chủ sở hữu trang web cá nhân hoặc thậm chí các doanh nghiệp vừa và nhỏ (SMB) đang tranh luận. Ví dụ như một công ty như Procter và Gamble, không chỉ quản lý trang web riêng của mình, nó còn quản lý các trang web thương hiệu , cũng như các mạng nội bộ cho nhân viên của mình làm việc và giao tiếp, chưa kể đến sự ra đời của Internet of Things , họ hiện đang xử lý các thiết bị được kết nối như điện thoại di động và máy tính bảng, ngoài tất cả các máy tính của nhân viên.

Đó là một dấu nội dung thuật số khổng lồ đòi hỏi rất nhiều nỗ lực để đảm bảo bảo mật.

Trong trường hợp như thế này, bạn sẽ cần phải dựa vào PKI để giúp bảo mật mọi thứ.

PKI là gì?

PKI (Public Key Infrastructure) là một khuôn khổ cho việc quản lý, phân phối, sử dụng, lưu trữ và thu hồi chứng chỉ số đáng tin cậy. PKI liên kết các khóa công khai với danh tính tương ứng của chúng. Hầu hết mọi người đều biết về PKI từ các chứng chỉ SSL, nhưng PKI đã bảo mật các trang web, mã hóa các tệp và xác thực và mã hóa các email trước đó thời gian dài.

Có thể định nghĩa trên gây khó khăn cho bạn trong việc hiểu rõ về PKI, vậy hãy đọc ví dụ dưới để hiểu rõ hơn,

Ví dụ bạn có một chứng chỉ gốc hoặc ít nhất một trung gian mà mọi hoạt động đều thông qua chứng chỉ này. Mọi chứng chỉ được cấp sẽ được ký bởi chứng chỉ gốc đó. Điều này cho phép mỗi chứng chỉ được phát hành được xác thực. Vì mọi chứng chỉ đều được ràng buộc với một danh tính và được ký bởi một chứng chỉ gốc tin cậy, nó giúp dễ dàng xác minh rằng khóa công khai thuộc về một thực thể cụ thể. Chúng tôi đang bỏ qua xác nhận trong ví dụ này bởi vì hầu hết các công ty doanh nghiệp có thể phát hành chứng chỉ của riêng họ sau khi trải qua xác thực kinh doanh một lần duy nhất.

Xem thêm: PKI nền tảng quan trọng cho bảo mật truyền thông

Tôi nên chọn một trung tâm ủy quyền (CA) công cộng hay riêng?

Có những ưu điểm và nhược điểm đối với mỗi cách tiếp cận. Nếu bạn đang bảo mật một tên miền có thể được truy cập bởi công chúng thì tốt hơn nên có một thư mục gốc, vì phần lớn các trình duyệt sẽ có chứng chỉ gốc đó trong kho lưu trữ tin cậy của họ và nó sẽ làm cho xác thực dễ dàng hơn. Ngoài ra, hầu hết các CA công cộng đã có PKI tại chỗ có thể mở rộng khi cần thiết.

Một thư mục riêng, là một trong những bước đầu tiên của một CA riêng tư, cho bạn khả năng cấp chứng chỉ số tự ký. Nhược điểm là nó sẽ mất thêm chi phí không mong muốn, và bạn sẽ phải thêm gốc riêng của bạn vào trình duyệt của công ty bạn. Ngoài ra, hãy nhớ nếu đây là tên miền công khai, chứng chỉ gốc của nó sẽ không nằm trong danh sách tin cậy của khách truy cập và trang web của bạn sẽ nhận được thông báo cảnh báo từ bất kỳ trình duyệt nào họ đang sử dụng . Mặt khác, nếu bạn đang sử dụng một thư mục riêng cho các mục đích nội bộ, chẳng hạn như kiểm tra hoặc cho IoT, việc quản lý PKI của riêng bạn dễ dàng hơn là dựa vào CA của bên thứ ba.

Tuy nhiên hầu hết các CA đều có các công cụ dành cho doanh nghiệp cho phép công ty phát hành miễn phí khi cần.

Sự khác nhau giữa CA được lưu trữ và CA nội bộ là gì?

Câu trả lời cho điều này tương tự như những gì chúng ta đã thảo luận trong phần trước. Về cơ bản, bạn có muốn xây dựng một PKI nội bộ hoặc mua một dịch vụ PKI lưu trữ.

Việc xây dựng một PKI sẽ tăng công việc cho các nguồn lực và nhân sự của riêng bạn. Nếu bạn có thể đủ khả năng để có ai đó, hoặc một nhóm, giám sát PKI, thì đó là một lựa chọn tuyệt vời vì nó cung cấp cho bạn rất nhiều sự linh hoạt về mặt phát hành và triển khai. Nhưng hãy nhớ, bạn cũng sẽ phải trả tiền cho phần cứng, phần mềm, cấp phép và đào tạo. Đối với rất nhiều công ty nhỏ hơn, đây là một chi phí không hề dễ chịu chút nào.

Các CA được lưu trữ cung cấp rất nhiều lợi ích giống như một CA nội bộ, sự khác biệt lớn nhất là bạn đang giảm tải một số chi phí mua và duy trì phần cứng và phần mềm. Ngoài ra, chứng chỉ của bạn sẽ được công khai tin cậy trên tài khoản của sự bao gồm của CA trong các cửa hàng tin cậy. Chưa kể, việc phát hành chứng chỉ riêng từ một CA công khai sẽ mất một phần chi phí mà chứng chỉ đáng tin cậy công khai sẽ có giá.

Quản lý chứng chỉ ở cấp doanh nghiệp

Một trong những thách thức lớn nhất mà Doanh nghiệp phải đối mặt là khả năng hiển thị. Bạn có thể có hàng ngàn chứng chỉ được triển khai tại bất kỳ thời điểm nào giữa dấu chân điện tử của bạn và tất cả các thiết bị được kết nối. Đây là một nơi mà đi với một CA công cộng có một lợi thế dứt khoát. Mặc dù có các công cụ của bên thứ ba sẽ giúp phát hiện ra, nhưng các CA công cộng đã dành nhiều năm để xây dựng nền tảng của họ để đáp ứng nhu cầu của doanh nghiệp. Quản lý PKI của riêng bạn đã đủ thử thách với khả năng hiển thị. Không có nó, bạn chỉ đang mời rắc rối.

Một cái gì đó khác để xem xét, bạn có thể muốn tận dụng PKI hiện có của CA công cộng trong khi bạn xây dựng của riêng bạn. Điều này cho phép bạn dựa vào cái gì đó đã được thử và đúng trong khi bạn làm việc bất kỳ kinks ra khỏi CA nội bộ của bạn.

Một điều cuối cùng cần nhớ, nếu bạn đang xây dựng PKI của riêng mình, hãy cho phòng phát triển. Không chỉ thiết kế nó cho nhu cầu ngày nay, hãy cố gắng suy nghĩ về cách nó sẽ mở rộng quy mô cho mục tiêu tương lai của tổ chức của bạn, không chỉ những mục tiêu bạn đang theo đuổi ngày hôm nay. Và đừng quên tự động hóa. Nếu bạn không thể tự động triển khai chứng chỉ, bạn sẽ dành phần lớn thời gian của mình để quản lý. Có một số tùy chọn tốt cho tự động hóa: RESTful API, Giao thức đăng ký chứng chỉ đơn giản (SCEP), Đăng ký qua vận tải an toàn (EST) và đăng ký tự động của Microsoft AD.

Nếu bạn có bất kỳ mẹo hoặc quan sát nào khác, hãy để lại nhận xét.

bình luận

Leave a Comment