隨著一年即將結束,現在正是回顧的好時機。2024年對於公鑰基礎設施 (PKI) 和證書生命週期管理 (CLM) 領域來說既令人興奮又充滿挑戰,促使業界重新思考策略並做出調整。從非人類和機器身份的爆炸性增長,到提議縮短證書有效期,再到加速邁向後量子密碼學 (PQC) 的採用,我們見證了一些關鍵的變化。
這些發展使許多組織重新評估他們如何處理 PKI 和 CLM 實踐。這是一個成長、適應,有時還是艱難教訓的一年。回顧過去,我們來看看2024年中一些突出的事件和見解,這些可以幫助為更具網絡韌性的2025年奠定基礎。
1. 非人類和機器身份管理比以往任何時候都重要
傳統上,身份和訪問管理 (IAM) 幾乎專注於人類身份及其訪問權限。但隨著雲端、物聯網 (IoT) 和人工智慧 (AI) 環境的興起,非人類和機器身份變得至關重要,能夠自動化流程並實現安全的機器對機器通信。事實上,我們與企業策略集團 (ESG) 的2024年電子書調查顯示,非人類身份 (NHI) 的數量超過人類身份的20倍以上。這種爆炸性增長創造了一個巨大的安全盲點,許多組織仍然沒有合適的策略或解決方案來有效管理和保護 NHI。
電子書調查還顯示,三分之二的企業曾遭遇與被攻擊的非人類身份有關的成功網絡攻擊。沒有足夠的安全措施,NHI 是脆弱的,而這些弱點可能導致重大安全漏洞。考慮到風險如此之高,企業組織的董事會現在開始注意,將 NHI 管理和安全列入2025年的預算優先事項。
2025年的策略:
計劃在年度 IAM 預算中納入 NHI 安全和管理。
投資於一個全面的證書生命週期管理 (CLM) 解決方案,提供非人類和機器身份的可見性、自動化和政策控制。
推薦資源:
2. 後量子密碼學 (PQC) 的早期採用已經開始
量子計算在2024年成為一個重要的技術話題。量子位穩定性、錯誤修正和量子雲服務的進展不斷吸引著媒體的關注。然而,今年最大的消息來自美國國家標準與技術研究所 (NIST),他們發布了第一套最終的後量子加密算法標準:FIPS 203、FIPS 204 和 FIPS 205。
在面臨「先收割,後解密」攻擊的威脅,以及中國研究人員聲稱已用量子計算機破解 RSA 加密的情況下,PQC 標準化的消息現在啟動了 PQC 準備項目。新的 PQC 標準包括旨在防範來自經典和量子計算機攻擊的加密算法。NIST 的公告標誌著 PQC 早期採用的正式開始,促使組織開始準備過渡到這些新標準。
隨著量子世界的快速進步,Q日——量子計算機破解當前廣泛使用的加密算法(如 RSA、DSA、ECDH、ECDSA 和 EdDSA)的那一天,可能會比預期更早到來。現在開始為 PQC 遷移做準備非常重要,因為敏感系統和數據可能在 CRQC (加密相關量子計算機) 完全開發之前就已經面臨風險。
2025年的策略:
雖然過渡到 PQC 是一個重大的多階段變化,將在未來十年內展開,但 PQC 的早期採用已經開始。首席資訊安全官 (CISO) 應該立即開始他們的 PQC 準備之旅,這涉及廣泛的計劃、時間和資源。這不僅僅是採用新的加密算法,還包括對各行各業的加密基礎設施、標準和工具進行廣泛的變更。企業需要獲得所有加密資產的可見性,實施自動化並啟用加密靈活性,選擇算法,並在全面過渡到 PQC 證書之前測試內部用例和測試環境的私有信任證書。
推薦資源:
3. 短期 TLS 證書的有效期即將到來!
在2023年3月,谷歌宣布計劃將公共 TLS 證書的最大有效期從398天減少到90天,以促進自動化、推廣加密靈活性並增強互聯網安全。緊接著谷歌的步伐,蘋果公司 (Apple Inc.) 在2024年10月提出了一項草案,建議到2027年逐步將公共 SSL/TLS 證書的最大有效期從398天減少到僅45天。
考慮到 CA/瀏覽器 (CA/B) 論壇每2-3年就會減少公共 TLS 證書的有效期,這些提議中的一項可能會在不久的將來獲得批准。如果這樣的話,這將徹底改變企業在未來幾年如何處理和管理數字證書。
短期有效期基本上意味著公共 TLS 證書需要每年多次續期。這與當前 TLS 證書的續期和管理方式相比,將是一個巨大的變化。頻繁續期所帶來的額外工作量將對 IT、PKI、安全、DevOps 和應用團隊施加巨大的壓力,迫使他們在依賴手動流程的情況下保持對證書到期的掌握。
2025年的策略:
對於管理數百到數千個證書的組織來說,自動化證書生命週期管理是確保及時續期、避免中斷和漏洞的唯一方法。自動化消除了疏忽的風險,集中證書可見性,簡化續期過程,使其即使在續期頻率增加的情況下也能擴展。擁有提供可見性、自動化和政策控制的 CLM 解決方案,您的組織可以更好地應對短期證書有效期或任何其他變化。
推薦資源:
解說視頻:準備好90天的 TLS 證書,使用 AppViewX
網路研討會:加密靈活性自動化:現在為谷歌的90天 TLS 有效期提案做好準備
資訊文件:AVX ONE CLM 觀察,為谷歌的90天提案做好準備
4. CA 靈活性是被忽視的安全最佳實踐
當發生 CA 受損或不信任事件時,手動切換 CA 和替換受影響的證書變得複雜、耗時且資源密集。對於擁有龐大 IT 基礎設施的大型組織來說,這一挑戰可能會感到壓倒性:追蹤每一個受影響的證書、引入新的 CA、提供新證書以及及時撤銷舊證書。由於 PKI 和密碼學世界的中斷往往是突發的,因此具備加密靈活性至關重要。能夠迅速適應這些變化可以幫助您減少影響並保持一切運行順利。
2025年的策略:
建立加密和 CA 靈活性:投資於一個與 CA 無關的 CLM 解決方案,以確保您的組織能夠快速、無縫地切換到新的 CA,而不會帶來 CA 事件相關的繁重工作、運營開銷和中斷。
多樣化您的 CA 投資組合,以保持根據業務需求選擇多個 CA 的靈活性,避免 CA 鎖定。
推薦資源:
AVX ONE 證書生命週期管理 (CLM):無縫的 CA 切換能力
5. CLM 自動化對防止中斷至關重要
儘管對證書生命週期管理的關注增加,但許多組織今年仍然面臨與證書相關的中斷。從英格蘭銀行到阿拉斯加航空,這些中斷廣泛存在,影響了關鍵操作和公共服務數小時。根本原因是什麼?缺乏自動化和無效的證書生命週期管理。對數百或數千個證書進行手動監控以確保其及時續期和提供,對於今天的 PKI 和 IT 團隊來說變得極具挑戰性。這一過程繁瑣、耗時且容易出錯,導致昂貴的中斷和安全漏洞。而且,隨著谷歌提議90天的 TLS 證書和蘋果公司計劃在2027年前推出45天的 TLS 證書,這個問題在沒有 CLM 自動化策略的情況下只會變得更糟。
2025年的策略:
全面了解證書狀況,以主動識別和解決證書問題。
實施自動化警報功能,以隨時掌握證書到期情況。
自動化端到端的證書生命週期管理,以簡化續期,確保準確和及時的證書提供,減少人為錯誤,提高效率。
對證書的發放和管理制定明確的政策,以確保強大的安全性和持續合規性。
推薦資源:
部落格:不要讓過期的證書造成關鍵的停機時間。用智能 CLM 防止中斷
6. Kubernetes 中的 CLM 必須簡單、自動化和整合
向容器和 Kubernetes 的轉變帶來了基礎設施的重大變化,並增加了複雜性,開啟了全新的攻擊面。根據2023年紅帽 Kubernetes 調查,90% 的受訪者在過去12個月中至少經歷過一次 Kubernetes 環境中的安全事件。由於 Kubernetes 本身並不安全,因此現在對使用 TLS 證書來保護 Kubernetes 環境的關注更大,這也能支持 DevOps 的速度和靈活性。然而,在像 Kubernetes 這樣動態和短暫的環境中,以規模和速度管理 TLS 證書對 DevOps、CloudOps、PlatformOps 和安全團隊來說變得非常具有挑戰性。Kubernetes 中的傳統和開源證書管理工具無法滿足 DevOps 和安全團隊的需求。
2025年的策略:
全面了解您 Kubernetes 集群中的所有證書。
自動化 CLM 以支持多個 Kubernetes TLS 用例(Ingress TLS、Service Mesh mTLS、K8s 基礎設施 mTLS、短暫 Pods)。
啟用自助服務功能,以使 CLM 跟上 DevOps 的速度。
簡化並強制執行跨 Kubernetes 集群和工作負載的一致 PKI 政策。
投資於與 DevOps 或容器管理工具緊密整合的證書生命週期管理解決方案。
推薦資源:
白皮書:加強 Kubernetes 安全性的指南,使用證書生命週期管理
網路研討會:簡化 Kubernetes 環境中的證書生命週期管理
7. PKI 應具備可擴展性和靈活性以應對中斷
PKI 不斷發展,以保護新的和新興的用例,例如雲應用訪問、DevOps、物聯網、容器等。隨著用例的增加,擴展內部 PKI 以滿足不斷增長的證書需求變得非常具有挑戰性。傳統基礎設施、證書擴散、分散的 CA、PKI 專業知識的稀缺和高成本,使得運行內部 PKI 變成了一個複雜且資源密集的過程,分散了對核心業務活動的注意力。
2025年的策略:
考慮轉向作為服務的 PKI (PKIaaS),這是一種雲端解決方案,將 PKI 管理轉移給專業的第三方服務提供商。由服務提供商外部托管和全面管理的 PKIaaS 提供多種優勢,例如簡化的 PKI 操作、完全整合的 CLM、更高的 IT 效率、增強的安全性和低總擁有成本——這對於現代私有 PKI 需求來說是理想的選擇。
推薦資源:
8. 成熟的代碼簽名流程對安全軟體開發至關重要
在供應鏈攻擊中濫用代碼簽名證書的威脅正在上升。這些證書用來驗證軟體的真實性、完整性和安全性,使其成為攻擊者的主要目標。當代碼簽名密鑰、證書或流程未得到妥善管理時,壞人可以進行攻擊,例如冒充受信任的開發者來散播惡意軟體。
今年2月,流行的遠程訪問解決方案 AnyDesk 遭受了一次網絡攻擊,導致其生產系統受到影響,並促使密碼重置和代碼簽名證書的更換。
為了應對這一威脅,CA/瀏覽器論壇在2023年6月引入了更嚴格的基線要求,強調保護私鑰。然而,許多組織仍然難以實施強大的代碼簽名實踐並滿足這些新要求。在代碼簽名中平衡安全性和效率仍然是許多組織面臨的挑戰。
2025年的策略:
使代碼簽名:
安全:根據 CA/B 論壇的要求,將私鑰安全地存儲在 FIPS 140-2 認證的 HSM 中,並集中管理密鑰的訪問和使用,以最小化私鑰被盜用的風險。
無縫:將代碼簽名整合到 DevOps 工作流程中,使開發者能夠隨時隨地使用任何簽名工具簽署代碼,而不必擔心密鑰管理和存儲。
可控:執行政策,以便安全團隊全面監控企業內的代碼簽名密鑰、證書和簽名事件。
推薦資源:
隨著我們進入2025年,顯然重新定義您的 IAM 策略和證書生命週期管理至關重要。如果2024年教會了我們什麼,那就是加密靈活性應該成為每個組織數位安全策略的核心——這是應對當前挑戰和未來不確定性的關鍵。自動化可以成為過渡到後量子密碼學的遊戲改變者,並幫助團隊輕鬆應對短期證書的挑戰。現在是時候將這些見解付諸行動,為更強大、更具韌性和安全的未來奠定基礎。
AppViewX AVX ONE:最先進的證書生命週期管理和 PKI 平台,滿足所有非人類和機器身份管理需求
AppViewX AVX ONE 平台旨在解決企業 PKI、IAM、安全、DevOps、雲端、平台和應用團隊在管理 PKI 和證書方面的現代挑戰。通過對證書和密鑰的可見性、自動化和控制,AVX ONE 簡化了證書生命週期管理,並在複雜的混合多雲環境中實現加密靈活性。
在一個統一的平台上,AppViewX 提供企業範圍的 CLM、非人類和機器身份管理、Kubernetes 和容器 TLS 自動化、可擴展的 PKIaaS、簡單的 PKI 現代化、安全的代碼簽名、物聯網身份安全、SSH 管理和後量子密碼學 (PQC) 準備等即時價值。
如果您想了解更多,請今天與我們的專家交談。
新聞來源
本文由 AI 台灣 使用 AI 編撰,內容僅供參考,請自行進行事實查核。加入 AI TAIWAN Google News,隨時掌握最新 AI 資訊!
