摘要
- 中国的PKI自动化市场容量和市场需求分析。
- 数字证书意外过期,在线业务被迫中断,怎么预防?
- 如何高效率实施数字证书管理、减少人工成本?
- PKI自动化做得好与不好,差别在哪里?
- 中国企业如何落地PKI自动化管理方案?
- 2021年PKI自动化分析报告下载。
本文将为您解答以上问题。
中国作为世界数字化大国,拥有线上业务的企业基数十分庞大。对于企业来说,数字证书、PKI的管理是一个比较头疼且重要的问题:大家都希望能够实现低成本、少出错地管理数字证书,最好是PKI能够自动进行整理、升级、续期等一系列操作,不再需要费冗余的人力去手动管理。
为深入了解该市场,并尝试找到解决问题的方法,我们采访到了PKI自动化管理专家:来自全球领先的 TLS/SSL、PKI 和物联网(IoT) 安全解决方案提供商 DigiCert中国合作伙伴客户经理 Perry Chen,他为我们指出了一条清晰的PKI自动化管理方案。
DigiCert中国合作伙伴客户经理Perry Chen
数说安全:Perry 您好,请先为我们简要介绍一下什么是“PKI自动化”?
Perry:在我们最近发布的《2021年PKI自动化状况调查报告》中,给出了明确答案:
- 发现现有的数字证书
- 颁发新的数字证书
- 在数字证书即将到期前续订证书
- 在必要时吊销数字证书
- 实现代码签名的自动化
- 客户端证书的注册流程
- 身份验证(例如,用于文档签名)
- 实现扩展预配活动的自动化,例如进入LDAP和Exchange
- 与PKI管理相关的其他基础工作
数说安全:中国国内PKI自动化的市场需求是怎样的?
Perry:《2021年PKI自动化状况调查报告》显示,2021年全球企业需要管理的PKI证书数量增长了43%,在400家的受访企业中,有的企业目前管理着超过5万个证书,37%的受访企业用三个及以上的部门来管理证书,从而造成许多混乱的情况;至少91%以上的企业认为,PKI自动化能够解决PKI管理困难的现状;70%的企业希望在12个月以内公司能够尽快实施PKI自动化管理解决方案。
《2021年PKI自动化状况调查发布》文末下载完整报告
与世界其他地区相比,亚太地区的企业在管理证书工作量方面遇到的问题更多。我们发现,在典型企业中,多达1000个证书没有受到管理,近一半(48%)的企业经常发现“恶意”证书,在参与调查的所有地区中发生率位居第一。
在该地区(大概率在中国),证书管理和证书工作流程需要有所改进,而证书工作流的自动化将发挥关键性作用。
中国国内外网络安全事件频频发生,中国政府变得更加关注网络安全。最近,政府出台了一系列政策,以促进和规范国家网络安全格局的发展。PKI模型具有最高的安全性,因此国家在鼓励网络信息安全产业发展的同时,也推动了PKI行业的发展。中国的PKI行业将继续扩张,市场占有率将持续增长。
此外,中国在技术方面进行了大量投资,同时有大量训练有素的IT专业人员,使得中国企业在采用PKI自动化以保护网络空间关键基础设施方面发挥了带头作用。
数说安全:您提到国家政策的出台,国内《数据安全法》等针对信息安全的政策法规,对企业的PKI管理有要求么?对企业有什么影响?
Perry:在《数据安全法》、《个人信息保护法》和最近与网络安全相关的其他法律法规的背后,网络上每个个体都应该拥有身份,以便拥有适当的权限和授权访问数据集,就像零信任模型那样。事实证明,因其易用性和隐私安全性,PKI成为网络中代表个人、设备和服务的最佳做法。为遵守新法规,企业应审查其PKI实施情况,特别是可用于审计的报告功能。同样,集中式证书管理门户对于密切关注这些新合规性要求的企业来说也是必不可少的。
停机可能导致客户服务操作中断,过期的证书可能导致监控或其他系统关闭,从而在企业内部造成安全漏洞。例如,过期证书可能导致企业无法收到系统发送的威胁警报,从而出现严重违规,并最终致使企业损失大量资金。
数说安全: 实现PKI自动化管理,对企业有什么明显的价值?
Perry:据我们最近的PKI自动化状况调查发现,亚太地区的企业需要管理的数字证书数量庞大且仍在不断增长。这些企业中有三分之二曾经历过因证书意外过期而导致的中断,有四分之一则在过去的六个月内经历了五到六次这类中断。这些企业不得不应对证书过期导致的在线服务中断和流氓证书等后果。
此外,许多企业缺乏集中的证书管理系统和专业的PKI知识,而且存在三个或更多部门管理证书,这使得跟踪和监管证书变得更加困难。因此,这些企业的证书更有可能在续订之前就已过期。而且许多企业,尤其是IT安全资源有限的企业也十分担心手动管理证书所需要花费的时间。
在这种情况下,PKI自动化有助于减轻那些拥有大量证书的企业的处理压力。推进PKI自动化还可以让员工将更多时间放在其他优先事项上,从而提高生产力和工作效率。
数说安全: 中国企业怎么落地PKI自动化?可以给大家提一些明确建议么?
Perry:要实现PKI自动化,基本要做到以下步骤:首先详列内部部署的所有数字证书,并关注这些证书的使用方式;其次,对最关键的在线资产确立优先级并进行确认,以保证其安全。第三,可以试用解决方案。这一过程中,应优先考虑那些集中运营并与其首选的证书颁发机构保持一致的方案。第四,考虑如何管理自签名证书,找到在证书使用期内发现和监控这些证书的方法。第五,企业必须修复任何不符合企业策略的密钥和证书。第六,在工作流程方面,企业应确保持续遵循PKI的最佳部署。例如,企业必须使用一种能集中可见性和可控性并自动化工作流程的软件来处理未被管理或手动管理的证书工作流程。
数说安全: PKI自动化做得好的企业,和做的不好的企业差别在哪里?
Perry:与表现稍显不佳的企业相比,那些表现较好的企业更清楚PKI和证书管理的重要性。他们注意到了手动证书管理的挑战,并且已经在实施或希望在未来6到12个月内实施PKI自动化。这在一定程度上使得后者有了更加出色的表现,例如能够最小化PKI安全风险,避免PKI停机,以及满足与PKI相关的服务标准等。
另一方面,表现稍逊的企业似乎对自身可能面临的各种问题没有一个明确的了解。通常情况下,管理证书数量越少的企业越是在苦苦挣扎。这可能是因为他们认为自己不需要专业的流程,或者目前尚无成熟的PKI管理流程。
《2021年PKI自动化状况调查发布》文末下载完整报告
数说安全:在中国国内,哪些领域或行业是急需提升PKI管理水平的?
Perry:近年来,随着中国物联网行业的快速发展,如视频监控、车联网、工业控制系统、智能家居等,许多企业的安全问题和缺陷逐渐暴露出来。管理数字证书的难度也因此增加。
许多中国企业都存在着对PKI专业知识欠缺的问题,就连那些金融服务或电子商务领域的知名企业也曾经历过服务中断。IT员工需要竭尽全力来让他们从不佳的绩效中恢复过来。但一些CTO和CISO仍然没有注意到数字证书的重要性,因为他们手头有大量的资源。我个人建议不要从事故中吸取教训,要从根本避免证书失效导致的服务中断,将人员和工作流程准备到位,并配备合适的管理工具来提高效率。当您深入研究PKI管理的优化后,自动化将自然而然得成为消除人为失误、节约成本和提高效率的不二选择,企业也会从ROI中明显受益。
数说安全:DigiCert在PKI自动化方面的主要差异性优势在哪里?能为市场做些什么?
Perry:DigiCert的愿景是为所有以PKI为关键的用户场景继续简化和改进PKI自动化,如web服务器、设备标识和管理以及数字签名。
DigiCert在证书识别和自动化解决方案上居于领先地位,例如引入平台,让用户可以在上面查看包括过期日在内的已签发的证书信息。
DigiCert对企业在PKI自动化方面面临的挑战十分了解,并对此开发了一种专有技术,即在本地托管自动化PKI服务,并减少进出企业防火墙的接入点数量。这仅仅是我们领先的领先技术之一。我们将继续构建前瞻性的自动化解决方案,并提供企业级自动化常见问题解决方案。
数说安全:您如何看待PKI管理的未来发展?
Perry:随着越来越多的企业采用混合工作安排,大家越来越多地使用云计算和互联服务,PKI和数字证书的使用和数量预计也将迅速增长。因此,正确管理这些证书对企业来说非常重要。
在企业掌握如何更好地解决证书管理过程(如PKI自动化)之前,我们可能仍然会看到服务中断和其他与过期证书相关的问题以较高的频率出现。
我们鼓励企业考虑证书集中化过程的价值,制定政策以整合证书的颁发机构,开始关注他们最具价值的在线资产,并制定一个未来6到12个月内的自动化实施计划。当企业启动这些流程后,他们会发现自己的服务不仅正常运行时间和可靠性得到改善,同时还更加高效。
数说安全:好的,谢谢您的分享。
附:《2021年PKI自动化状况调查发布》下载
评论