本文的内容

显示

1.

西西弗斯式的安全困境

2.

走向云端处理安全管理问题

2.1.

全链路生命周期管理降低故障率

2.2.

自动密钥轮换提高了安全性

3.

一键托管阿里云高安全等级保护

3.1.

推荐阅读

随着苹果、谷歌和Mozilla相继宣布拒绝在其浏览器中使用创建日期超过13个月的公共数字证书，SSL/TLS证书的使用寿命将在2020年9月1日后正式缩短至398天。

2020年3月3日，苹果率先发布公告。

十年来，这个数字从10年8年缩短到5年3年2年1年。一些国际领先的金融支付企业甚至启动了小时证书管理机制，这也是证书生命周期的明显趋势。仍然采用人工管理的企业产生了大量重复琐碎的运维工作，人为因素的参与给证书管理带来了新的风险。关于这个困境，云原生安全能力可能会给出更好的解决方案。

西西弗斯式的安全困境

【2020/05】大量特斯拉车主反映，驾驶过程中仪表盘和中控面板无法点亮，只能盲目开启。原因其实是证书到期导致的中断。

[2020/02]微软团队交流平台因证书过期导致业务宕机约3小时，影响2000万用户。

【2019/2019/05】LinkedIn的短链接服务被中断，这是该公司两年内第二次出现证书过期的情况。

[2018/12]由于爱立信证书到期，全球数百万用户与4G网络断开连接。

[2017]由于Equifax网络中的证书过期，攻击者窃取了约1.48亿用户的个人信息.

根据Ponemon Institute发布的《企业数字证书管理安全调查2020》报告，73%的组织因数字证书管理不当而经历过宕机和中断。显然，处理安全风险是证书有效期越来越短的主要原因。一方面，企业IT部署逐渐趋向越来越严格的“零信任”环境，对身份认证的强度和频率提出了更高的要求；另一方面，虽然各种证书的加密算法已经逐步从RSA SHA1切换到RSA SHA256，并且在进一步从RSA切换到ECDSA和SM2的过程中，证书产品破解加密算法的能力得到了提升，但是不断变化的威胁环境仍然对企业不断提高网络安全的动态防御能力提出了新的要求。缩短证书有效期有助于进一步缩小攻击面，弥补算法破解可能出现的突破。

越来越多的证书使得管理更加困难。截至2020年8月，阿里云服务器上部署的SSL/TLS证书数量已经达到数千万，平均每个大型企业上百个。随着业务线的丰富和IT架构向基于身份和访问控制的零信任网络的转变，证书的类型变得多样化。在应用场景中，还包括个人身份证书、企事业单位身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书等等。如此大规模的证书管理规模遇到证书有效期缩短，意味着运维时间成本直接翻倍。

在保证安全和避免管理混乱的天平上，有没有完美平衡的解决方案？

走向云端处理安全管理问题

IDC发布的《全球云计算IT基础设施市场预测报告》说明企业云已经成功完成了从被动到主动的转变。企业不仅可以享受到云的便捷、稳定、灵活，云固有的安全性也可以帮助企业更好地解决线下无法解决的困难和挑战。

全链路生命周期管理降低故障率

与传统的证书管理流程相比，基于云原生安全能力的全生命周期证书管理解决方案可以有效解决

随着物联网和DevOps的快速发展，建立基于云的高性能PKI系统更加迫切。DevOps过程中微服务和容器的持续集成、持续分发、大规模集成和使用，对数字证书的大规模应用、部署和敏捷管理提出了更多新的要求；在物联网场景下，物联网设备全生命周期使用数字证书，也提升了整个行业对设备异构性、密钥轮换周期、PKI体系跨系统可扩展性的期望。

自动密钥轮换以提高安全性？

对于安全性要求较高的行业，在行业标准中纳入定期的密钥轮换和提升密钥安全级别就更为重要【比如支付卡行业的数据安全标准？(PCI DSS)、中国国家密码管理局发布的密码行业相关标准(GM/T 0051-2016)等。)，建立基于云的高性能PKI体系，加快密钥轮换周期，同时安全合规，有助于全行业纵深防御思想的落地。

领先的做法，如美国移动支付公司Square，已经开始基于云环境全天候轮换一些数字证书。换句话说，即使攻击者获得了企业的证书密钥，他最多也只有24小时的时间来进行下一次索赔。未来这个窗口期可能会缩短到几个小时甚至几分钟，大大降低企业从证书路径上被捕获的风险。但同时，在量变的过程中，这种管理成本会带来运维时间成本的指数级增长，形成管理难度的质变，云原生安全能力将成为最佳解决方案。

一键托管阿里云高安全等级保护

随着证书有效期的不断缩短，伴随而来的是证书运维成本的急剧增加。阿里云通过与国内外众多数字证书管理和颁发机构的紧密合作，帮助企业实现从申请、部署、检测、更新和延期到紧急恢复和撤销的证书全生命周期的自动化、规模化、动态化、敏捷化、安全化管理，从而提供等同于2年、3年、5年甚至更长期限SSL证书规范的使用感证书托管服务，有效帮助企业降低证书的运维成本。

阿里云生命周期证书管理系统

规模

PKI软硬件系统的完整托管完成了PaaS层的统一；

充分满足大规模、高频率发行的管理和安全要求。

自动化

批量自动提交证书申请；

批量自动更新证书有效期；

批量自动更换云服务证书。

灵活

批量SSL证书申请、更新、自动部署的一键配置；

一次维护后多年免于运行；

完全托管的证书生命周期管理将数百个证书的管理时间缩短到数小时。

安全

基于密码基础设施，实现托管证书私钥的硬件保护，避免误操作导致的私钥泄露风险；

原生集成使更多云原生场景具备“一键部署能力”，防范分发部署过程中的安全风险，降低管理成本；

高效的密钥轮换，缩短攻击窗口；

对证书的使用进行全面审核，并随时监控安全风险。

此外，全生命周期证书管理解决方案还解决了跨国企业或中国企业在出海过程中可能面临的不同PKI系统的合规性和可管理性的冲突，其开放的API接口提供了离线CA系统、跨系统和不同密码系统的扩展能力。

随着云原生时代的到来，业务逻辑与基础运维的解耦已经被广泛期待。建立自动化的全生命周期证书管理，形成基于云的高性能PKI体系。减去复杂环境下的安全运维工作，企业可以更专注于业务本身，赢得竞争。

来源：阿里云安全

西部数码代理(chenqinet.cn)是一种形式

公司开发的云计算平台以便捷、高效、高性价比、意想不到的售后优势占领市场，跻身国内前三的接入服务商，为国内超过50万家网站提供高速稳定的托管服务！先后荣获中国高新技术企业、中国优秀云计算服务商、中国十大IDC企业、中国最受欢迎云服务商等称号！

目前西部数码代理高性能云服务器在售，最低仅售48元！

http://zhuji.chenqinet.cn/cloudhost/