行业新闻与博客

组织在 2021 年面临的最大 PKI 挑战是什么？他们如何应对这些挑战？来自 DigiCert 的 2021 年 PKI 自动化状态的数据揭示了几个重要趋势。

根据 DigiCert 最新研究报告的数据，高达 91% 的企业表示他们希望实现公钥基础设施 (PKI) 自动化。这是有充分理由的——公钥基础设施是支持与互联网安全相关的几乎所有事物的支柱。即使您的服务器上有一个网站安全证书过期，所有关于服务中断、安全风险和不合规问题的问题都可能发生。更不用说这些问题可能带来的所有处罚和潜在诉讼……

归根结底，如果管理不当，PKI 对于企业和其他大型环境来说就是一头野兽。这就是 PKI 自动化可以提供帮助的地方。PKI 自动化有助于为混乱带来秩序。

但是 PKI 自动化意味着什么？我们将快速回顾它是什么以及为什么它是必要的。然后，我们将继续介绍 DigiCert 最新的 PKI 自动化报告中企业的四个关键要点。在每个部分中，我们将探讨见解和统计数据以及处理每种情况的有用建议。

让我们讨论一下。

PKI 自动化优势的快速概述

PKI 自动化是与管理 PKI 证书和密钥生命周期相关的过程和工具。基本上，这一切都是为了完成与管理数字证书和密钥对相关的单调任务——从请求或更新证书到部署和撤销它们（以及介于两者之间的所有内容）的一切——并让您的团队腾出时间专注于更高级别的功能。

那么，如果您没有适当的强大 PKI 管理实践和工具会怎样？即使这些证书中只有一个过期或密钥被泄露，您也会因各种原因而陷入困境！例如，让我们考虑当 SSL 证书过期时会发生什么：

• 不安全的数据可能导致代价高昂且具有破坏性的数据泄露。
• 不合规问题可能导致巨额处罚和潜在的诉讼。
• 服务中断不仅会降低生产力，还会干扰您的客户。
• 声誉受损可能会带来毁灭性的打击，这种影响可能会持续数月或数年。
• 失去客户信任和关系可能会导致销售和收入损失，这可能会迫使您永久关门。

通过使用自动化来管理您的证书和密钥，您可以使自己成为攻击者更难攻击的目标，从而降低发生这些情况的可能性。

因此，既然我们知道了 PKI 自动化是什么以及为什么它对企业有益，那么让我们来看看 DigiCert 调查数据的重要收获。

要点 #1：经历过与证书相关的停机时间？你不是一个人

意外停机对企业来说就像心脏病发作。它突然袭击——通常没有任何警告——并可能在收入损失和声誉损害方面产生破坏性影响。

为避免心脏病发作，您需要采取措施确保您过上健康的生活：定期锻炼、多喝水、健康饮食等。同样，您可以采取一些措施来减少意外停机时间与您的公钥基础设施有关。（我们将立即介绍这些建议。）

DigiCert 的 PKI 自动化状况报告数据显示，超过 33% 的 PKI 领导者认为自动化是该职责不可或缺的一部分。这些组织在管理其 PKI 时通常会采取行动并采取行动，与其他 PKI“落后者”的组织相比，它们经历中断的可能性要小得多。

一般来说，DigiCert 的数据显示三分之二或组织因证书意外过期而遇到中断。然而，他们认为是 PKI 领导者的组织经历的这些与到期相关的中断要少得多——六个月内只有一次中断。（将此与他们不太关心的企业同行所经历的三到五次中断进行比较——两种类型的组织都暂时发生了更多中断。）

您可以采取哪些措施来缓解此问题

几乎每个人都曾有过停机时间——区别在于停机时间是有意的（提前计划的）还是无意的（即“哎呀！”）。但是您可以做些什么来减少意外停机时间及其相关成本呢？

1. 为必要的更新安排停机时间——这是避免任何类型停机的第一个关键步骤。例如，如果您知道需要应用更新，您可以提前计划，以便您的客户了解并做出相应的计划。这种礼貌的举动还可以帮助您的客户最大程度地减少停机时间，因为他们事先就知道了。
2. 设置证书发现——证书发现对于 PKI 管理和一般网络安全来说是至关重要的。如果您不知道您的网络上有什么，您如何保护它？证书发现应适用于您的公共（外部）和内部网络。
3. 启用证书自动化— 利用自动化为您带来优势，并尽可能将证书续订设置为自动进行。这将使证书管理变得轻而易举，并使您摆脱许多单调的、与续订相关的任务。
4. 设置 PKI 警报——许多与 PKI 管理相关的工具都提供了设置警报的功能。此通知系统会在事情进展顺利时通知您，因此您可以立即升级任何事情，以确保快速有效地处理它。

要点 #2：过度自信的组织往往会遇到最大的问题

最担心 PKI 证书管理的组织往往是 PKI 安全问题最少的组织。（注意：这一要点也符合我们之前在一篇关于 Keyfactor 和 Ponemon Institute 的 2020 年研究的文章中分享的研究。）

总的来说，这些担心者在处理许多与安全相关的任务时似乎要好两到三倍：

• 管理他们的 PKI 数字证书，
• 最大限度地减少停机时间和与 PKI 相关的安全风险（例如恶意证书），
• 遵守行业和地区数据安全法律法规。

这是有道理的，真的。这些 A-game 组织可能在这些领域做得更好有几个关键原因：

• 他们的员工更有意识，所以他们倾向于密切关注事物。
• 他们认识到有效的证书管理和自动化的重要性。
• 他们认识到他们组织的缺点——因此，他们倾向于采取措施尽早缓解问题。

不用说，正是出于这个原因，DigiCert 将这些组织视为 PKI“领导者”。

现在，让我们将其与过于自信的同行进行比较——DigiCert 认为这些组织是“落后者”。这些企业对其 PKI 安全有效性和流程表示的担忧较少。一般来说，不太了解自己缺点的组织往往会出现更多的恶意证书问题和服务中断。我想这句流行的说法是正确的：无知是福。

您可以采取哪些措施来缓解此问题

我们可以提出几项关键建议。当然，并非每条建议都适用于您，但可能适用于您组织中的其他人（根据您的角色）：

• 注意您的业务需求并与人交谈。如果你不知道发生了什么，你怎么能做出明智的决定？如果您不了解组织内发生的事情，就无法解决问题。
• 使用正确的工具来提高效率而不牺牲安全性。使用可让您更好地了解网络和整体 IT 环境的工具。PKI 发现和监控可帮助您在 PKI 相关问题发生之前就意识到它们（例如证书过期）。理想情况下，您会希望使用一种工具，使 PKI 相关流程（如证书续订）的 PKI 自动化也能将这些问题扼杀在萌芽状态。  
• 实施强有力的 PKI 政策和程序。没有一家公司是完美的——您的员工也不是。人们可能会懒惰，有时也会犯错误。这就是为什么最好拥有他们可以依赖的文档化资源，以确保他们选中所有复选框，以确保尽可能安全可靠地管理您的 PKI。
• 无论事实多么糟糕，都要直截了当。不要在猪身上涂口红——如果有什么不对劲，你需要马上解决。不要粉饰可能导致安全事件、数据泄露和不合规的不良情况。传达情况的严重性，并要求提供确保组织及其数据安全所需的工具和资源。
• 听听你的员工怎么说。虽然不是每个人都想听到坏消息，但与其事后处理违规后果，不如直面它。对您的 PKI 经理、IT 团队和 CISO 在分享疑虑和提出建议时不得不说的话持开放态度。采用这种思想开放的方法可能会帮助您避免成为下一个与证书中断相关的头条新闻。

要点 #3：企业没有能力手动管理 PKI

在某些大型环境中大规模手动管理公钥基础设施根本不可行。为什么？因为管理您的 PKI 等同于成为多人的全职工作。DigiCert 的调查数据显示：

• 61%的受访企业担心证书管理的时间要求。
• 企业需要管理的 PKI 证书数量增加了43%。
• 企业通常在其环境中管理超过 50,000 个证书！

根据这个数字，这意味着您平均每天必须跟踪和管理近 137 个证书。不用说，当您还考虑管理每个数字证书附带的加密密钥时，这会导致灾难恶化……

• 2020 年 Keyfactor 报告中的数据显示，组织表示他们在其环境中拥有超过 88,750 个证书和密钥。（这是您和 / 或您的团队每天必须管理的平均 243 个证书和密钥。）
• 另一份 Keyfactor 报告表明，超过一半 (53%) 的受访者表示他们不知道自己拥有多少这些资产。（这个估计也包括自签名证书。）

为什么需要尽早实施 PKI 管理实践

DigiCert 的 2021 年报告数据显示，随着组织的发展，他们管理证书（及其整体 PKI 工作负载）的努力也随之增长：

• 三分之二的企业因证书过期而出现中断。
• 25% 的受访者报告在过去六个月中发生了多达六次与 PKI 相关的中断。

在这样一个相对较短的时期内发生了很多停电。出于显而易见的原因，这会对您的品牌产生毁灭性的影响。

让我们将此与去您最喜欢的餐厅用餐进行比较。如果餐厅的工作人员经常在您光顾时搞砸您的订单并提供糟糕的服务，您会有什么感受？这对您来说将是一次可怕的经历，并且可能会破坏您对该品牌的信任和信心。不用说，那家餐厅不会长期成为您的最爱……

您可以采取哪些措施来缓解此问题

使用提供证书自动化的证书管理平台是处理您在提高安全性方面将面临的许多问题的好方法。哎呀，证书自动化甚至是国家网络安全卓越中心 (NCCoE) 的推荐。该中心是美国国家标准与技术研究院 (NIST) 的协作“智囊团”，由受人尊敬的公共、私人和学术实体组成。

在 NIST 特别出版物“保护 Web 事务：TLS 服务器证书管理”(SP 1800-16) 中，他们将证书自动化视为“预防、检测证书相关事件并从中恢复”的一种方式。而且：

“应尽可能使用自动化来注册、安装、监控和更换证书，或者应提供理由继续使用可能导致操作安全风险的手动方法。”

除了降低网络安全风险外，PKI 自动化还可以帮助您简化流程以提高效率并让您的员工腾出时间来处理其他关键任务。

当然，环境中的 PKI 需求因组织而异。决定因素在很大程度上取决于组织的规模及其所需的证书和密钥的数量。但无论您的规模如何，在许多情况下，使用 PKI 管理工具都是解决您在管理证书时面临的问题并让您的团队腾出时间来处理其他关键任务的好方法。

流氓证书，就像影子 IT 一样，是每个企业都关心的问题。该术语描述存在于您的网络或 IT 基础设施中的未经授权或未知的 PKI 数字证书。它与影子 IT 的概念非常相似，影子 IT 描述应用程序、设备和其他增加组织攻击面的未经授权或未知元素。换句话说，流氓证书服务于您组织的网络防御中的弱点。

如果有人在你不知情的情况下在墙上开洞，你几乎不可能保卫你的堡垒。恶意证书是 IT 环境中您不知道或未跟踪的证书。但是流氓证书并不是一个小问题。对于 PKI 领导者来说，这是他们最关心的问题——排在其他潜在问题之前，例如后量子计算准备和缩短证书有效期。更糟糕的是：

• 将近一半 (47%) 的受访企业 IT 从业者表示在其组织内经常遇到恶意证书。
• 接受调查的企业报告其环境中有多达 1,200 个非托管证书。

您可以采取哪些措施来缓解此问题

您可以做两件主要的事情来缓解恶意证书和管理不善的证书问题：创建文档化资源和使用正确的工具。

创建 PKI 安全策略和程序指南

第一个选项是创建程序文档，帮助您划过 t 并在 i 上画点。这些政策和程序记录应提供以下方面的指导：

• 应该创建或购买 PKI 证书的原因和用途，
• 谁负责管理公共和私人 PKI 证书（及其相应的密钥对），
• 创建、管理和销毁证书和密钥的过程是什么，
• 为员工创建工作流程以请求并获得您最终控制的证书（即，在您的证书管理平台内），以及
• 哪些公共 CA 获准为您的组织颁发证书。

使用 PKI 管理工具

第二个建议是使用证书管理工具，让您完全了解您的网络。此类平台的目的是帮助您回答重要问题，例如：

• 我在我的网络、网站或我组织的 IT 环境中的其他地方使用了哪些证书？
• 这些证书在何处以及如何使用？
• 它们什么时候到期？
• 谁负责跟踪和管理每个证书？

理想情况下，此工具应提供 PKI 自动化，帮助您的组织的公钥基础设施功能和支持随您的业务扩展，以鼓励（而不是阻碍）其发展。

看看 DigiCert 的 PKI 自动化研究调查了谁和什么

DigiCert 的报告数据是对 400 家拥有 1,000 多名员工的企业的 IT 专业人员进行调查的结果。该研究由德克萨斯州达拉斯的 ReRez Research 开展，对北美、拉丁美洲、欧洲、中东和非洲以及亚太地区的员工进行了调查。

接受调查的从业者包括这些组织中的以下 IT 专家：

• IT 通才，
• IT 安全经理，以及
• IT 主管。

企业 PKI 自动化的最终要点

DigiCert 的研究数据表明，在 PKI 安全方面最成功的企业是那些认识到并接受实施强证书管理的价值的企业。这些通常是具有数万（或超过 100,000 个证书）证书需要管理的较大、高 PKI 证书数量的组织。  

除了希望避免意外的证书过期之外，他们还更关注于最大限度地减少管理证书所花费的时间。可能出于这个原因，这些 PKI 领导者在其组织内实施 PKI 自动化的可能性是其他人的六倍。