去年宣布的 Google 提議將 TLS (傳輸層安全性)憑證的有效期從 13 個月縮短到 90 天,這一提案可能會在不久的將來被實施。這無疑將提升安全性並縮小壞意分子利用被冒用或被盜的憑證和私鑰的機會窗口。但遺憾的是,這也將大幅增加管理 TLS 憑證所需的時間和精力。
TLS 憑證更新
對於僅有少量憑證的組織而言,這可能並非大問題。但大多數大型企業組織必須處理成千上萬的 TLS 憑證,用於關鍵的面向互聯網的應用程式和網站。對於這些組織而言,正確管理這些憑證的過程至關重要,否則他們將不可避免地面臨客戶看到網址不安全的警告,以及因憑證過期而導致的昂貴中斷。
因此,Google 提出的新 90 天 TLS 憑證有效期將對企業 IT 的三個領域產生深遠的影響:DevOps、安全和運營。
DevOps:向左轉移的另一個原因
容器化的 Kubernetes 環境正在迅速成為 DevOps 的標準,TLS 憑證在這些環境的安全中扮演著重要角色。它們提供信任和加密交易,使應用程式能夠安全地傳遞並始終可用。如果 TLS 憑證過期,關鍵的面向互聯網的應用程式可能會變得不可用和不受信任。
在管理這些憑證方面,向左轉移的方法是有意義的。開發人員應該在他們的開發工作流程中納入憑證更新提醒。他們還應該擁有符合 PKI 政策的自助服務憑證管理功能,以自動化憑證的發佈和更新。
對於 90 天的有效期,使用手動流程來更新和部署大規模憑證是不可能的。需要自動化來支持 DevOps 團隊在不斷交付新的應用程式和功能時所需的速度和敏捷性。
安全團隊:工作量增加四倍
確保用於公共面向應用程式和網路交易的私有數據的加密和安全性是安全團隊的責任。這將需要制定新的政策,以遵守 TLS 憑證的 90 天有效期,這些憑證是認證過程的核心。安全團隊還必須將執行這些政策的責任分派到開發和運營活動中,並通過定期審計來確保合規性。
為了做好過渡準備,安全團隊必須確保 IT 組織知道需要發生什麼、何時發生,以及存在什麼潛在的漏洞。這將需要培訓和持續的風險評估,涉及到憑證管理。
許多安全團隊在有限的資源下已經面臨著在舊的 13 個月有效期內更新 TLS 憑證的挑戰,尤其是在缺乏提供可見性和自動化工具的情況下。新的 90 天 TLS 憑證有效期將實際上使他們的工作量增加四倍,因為憑證需要每年更新和部署四次,而不是僅一次。
運營:可用性至關重要
運營團隊現在將面臨巨大的壓力,確保 TLS 憑證不會過期。如果發生過期,由此造成的中斷將影響生產力、收入和公司聲譽。
為了避免這些後果,現有的基礎設施必須能夠持續且無錯誤地處理加速的更新週期。這意味著最小化人工干預的需求,並盡可能接近零接觸 TLS 憑證更新和部署流程。
自動化的核心作用
這三個團隊共同的主題是對自動化的需求,自動化可以帶來幾個重要的好處。首先是效率。Google 提出縮短 TLS 有效期將產生大量重複工作,而寶貴的 IT 資源應該用於其他地方。
第二是可擴展性,隨著證書數量的增加,這一點至關重要。
第三是準確性,消除錯配和人為錯誤。與準確性一起來的是組織範圍內僅有政策驅動自動化才能確保的一致性。
最後,提供憑證可見性和跟蹤的自動化解決方案通過消除盲點和漏洞來提高安全性和減少風險。
最佳做法
為了為新的加速 TLS 憑證更新生命週期做準備,可以考慮以下最佳做法:
1. 採用集中的憑證生命週期管理基礎設施,以簡化更新並最小化停機時間。
2. 組建跨職能團隊,包括 DevOps、安全和運營的代表,確保對 Google 90 天 TLS 憑證有效期提案及其影響有共同的理解。
3. 明確各小組如何為共享洞察力做出貢獻並從中獲益,以增強整體安全態勢。
4. 組織聯合戰略會議,並建立定期審查會議,以監控進展、分享見解和調整策略。
5. 輪流負責領導這些會議,以確保各方的參與和問責制。
6. 建立反饋機制,以實現憑證生命週期管理過程的持續學習和改進。
通過強制更頻繁地更新 TLS 憑證,Google 90 天提案將有助於組織降低其遭受攻擊的風險,提高整體安全態勢。代價是增加管理工作量,這是值得付出的,但需要在 DevOps、安全和運營團隊之間制定新的流程和程序,促進自動化策略。
比其他人更早為過渡做好準備可能是實施的最重要最佳做法。
詳情請看:
How Google’s 90-day TLS certificate validity proposal will affect enterprises