Системы корпоративной и правительственной информациии должны быть способны обрабатывать и обмениваться личными и конфиденциальными данными в безопасном режиме.  В основу многих из этих информационных систем заложена инфраструктура, обеспечивающая доверительную взаимосвязь между пользователями, приложениями и устройствами для хранения данных. Инфраструктура открытых ключей или PKI и ее сертифицирующий орган (CA) поддерживают создание и обмен цифровых сертификатов, используемых для идентификации компьютеров и пользователей.  Использование асимметричной криптографии, открытых сертификатов и закрытых ключей позволяют применять приложения шифрования и дешифрования для надежного и безопасного обмена данными подтверждения целостности цифровых подписей.

В настоящее время многие компании управляют собственными PKI на основе служб Microsoft Active Directory Certificate (AD CS).  Значительное число PKI находится в работе уже более десяти лет.  Раннее принятие служебных PKI было вызвано, в частности, тем фактом, что в среде Microsoft открываемые ими возможности стали легкодоступны как бесплатная опция, включенная в операционную систему Windows..  Инфраструктуры PKI имеют иерархическую структуру – на вершине пирамиды имеется корневой сертифицирующий орган CA, который делегирует полномочия одному или нескольким сертифицирующим органам, которые подписывают и выпускают все используемые в организации сертификаты.  Основу доверия в инфраструктуре PKI составляет секретность личных ключей органов CA, которые используются для подписи выпускаемых ими сертификатов.  Если даже есть подозрение, что к этим личным ключам органов CA могут найти доступ взломщики, все ваши системы, использующие сертификаты, выпущенные данным CA, должны считаться утратившими надежность, и все эти сертификаты нужно выпустить заново!  Представьте, что случится, если сервисы, от которых больше всего зависит ваша повседневная работа по ведению бизнеса, вдруг будут дезактивированы из-за кражи одного ключа!  В сегодняшнем мире, где обычной практикой являются сложно структурированные предприятия, в вашем бизнесе может существовать множество приложений, которыми пользуются ваши сотрудники, поставщики и клиенты.  Поэтому все компании должны быть исключительно бдительны к тому, как организована защита этих ключей..

Например, недавние исследования уязвимости приложений относительно вируса Heartbleed, выявили, как может происходить утечка чувствительной информации (включая ключи) из памяти стандартных серверов и операционных систем.  Для защиты приложений на серверах, где решаются такие наиболее ответственные задачи, как CA, обязательно следует использовать дополнительные уровни безопасности. Они нужны как для защиты программного обеспечения CA, так и платформы сервера, на котором это приложение используется. Сюда входит использование специализированных радиационно-стойких приборов – то, что в индустрии называется модули безопасности аппаратных средств или HSMs .

Вы, конечно, понимаете, что восстановление сервера после удаления вируса Heartbleed будет болезненным, но восстановление после взлома ключа корневого CA может быть на порядок хуже.  Вирус Heartbleed поражает объекты, которые используют сертификаты, но утрата надежности ключа корневого CA повлияет на выпуск сертификатов. А поскольку многие внутренние сертификаты физически реализованы в смарт-картах, на повторный выпуск и перераспределение которых уходит больше времени, то это ведет к дополнительному усложнению логистических задач и к дополнительным затратам..  Для типовой компании это будет означать приостановку операций, потерю прибыли, подпорченную репутацию и большие расходы на восстановление. Восстановление после таких атак может быть просто разорительным.

Эта ситуация возвращает нас в сервис по сертификации Microsoft Active Directory.Эти сервисы были внедрены более 10 лет назад и составили часть «Сервера Windows» 2003 – и многие организации уже годами эффективно их используют. Но есть ряд причин, по которым становится исключительно важно разработать специфические планы перехода на более современную версию.  За эти годы разработчики Microsoft значительно улучшили безопасность и функциональность своей технологии PKI. Появились новые приложения, в которые входят более строгие алгоритмы, более длинные ключи защиты и новые типы сертификатов.. Эти усовершенствования можно использовать для обеспечения более высоких уровней надежности для существующих приложений для бизнеса. Они дают возможность использовать инфраструктуру PKI для поддержки новых приложений в будущем – и в частности, это очень высокого уровня требования типа «Приноси своё собственное устройство» (BYOD) и «Проверь объекты, скачиваемые из интернета, на безопасность» .  Возможно, наиболее важной причиной для перехода к новой версии является то, что на сервере, на котором стоит Microsoft Windows, 2003 анти-хакерская поддержка через год заканчивается (2015), а это означает, что более не будут проводиться обновления системы безопасности.

Хакеры хорошо знают о приоритетности этой инфраструктуры PKI и операционной системы и о последствиях завершения срока обслуживания.  Если вы этого еще не сделали, то пора начать переход на поддерживаемую версию Windows PKI и заново оценить требования к безопасности вашей инфраструктуры PKI и потенциальное использование HSMs.. И даже если вы уже совершили переход, нужно обеспечить защиту ваших критически важных ключей с помощью HSM.. Пора усилить доверие к вашему CA и усилить вашу PKI.  Подготовьтесь заранее, и не давайте повода для очередного громкого заголовка в прессе.

Чтобы научиться уменьшать риск и защищать свои критически важные корневые ключи CA путем перехода на последнюю версию системы безопасности и использование HSMs, загрузите копию нашего нового отчетного информационного документа ‘Обновления и усовершенствования при построении доверия к сертифицирующим органам Microsoft Windows ‘.