要約:
多くの組織は、公開ウェブサイトをデジタル証明書で保護していますが、VPN、デバイスネットワーク、DevOpsパイプラインなどの重要な内部インフラストラクチャについては見落としています。プライベート PKI SSL.comは、カスタムプロファイル、柔軟な有効期限、内部ネットワークの詳細を明らかにするCTログなしなど、独自の条件で証明書を発行および管理できるようにすることで、このギャップを埋めます。SSL.comは現在、3つのホスト型プライベート証明書を提供しています。 PKI あらゆる組織のニーズに適合するオプション。
あなたの会社のウェブサイトにはデジタル証明書が貼られています。メールは暗号化されています。チェックアウトページには、安心感を与える小さな南京錠が表示されています。
しかし、他のすべてはどうでしょうか?
チームが日々利用する社内ネットワーク、リモートワーカーが利用するVPN、IT部門が管理する数百台のデバイス、コードを本番環境にプッシュするDevOpsパイプライン。多くの企業と同じように、社外向けの玄関はしっかり守っている一方で、廊下やバックルームは開け放たれているのではないでしょうか。このギャップを埋めるために、秘密鍵基盤(PKI)が構築されました。
プライベートについては今すぐお問い合わせください PKI Solutions
公開鍵基盤と秘密鍵基盤の違いは何ですか?PKI)?
公開鍵インフラストラクチャ(PKI) は、組織全体で暗号化、認証、安全な通信を可能にする資格情報であるデジタル証明書を発行および管理するシステムです。
しかし、根本的に異なる 2 つのモデルがあります。
公共 PKI
公共 PKI インターネットに公開されているウェブサイトを保護します。証明書は、Chrome、Safari、FirefoxなどのブラウザにルートCA証明書が埋め込まれている、公的に信頼されている証明機関(CA)によって発行されます。
これは次の場合に不可欠です:
- 公開ウェブサイト
- E-コマース
- 顧客向けポータル
ただし、公共の PKI 証明書の有効期間とアルゴリズムを制限する規則(CA/ブラウザフォーラムの要件など)が付随しており、その有効期間は短縮されています。証明書の内容は厳しく規制されています。また、パブリックCAを通じて発行されたすべてのデジタル証明書は、公開されている透明性記録に記録されます。これがパブリックWebの信頼性を高める要因である一方で、一定の運用リスクも伴います。
プライベート公開鍵基盤(プライベート PKI)
プライベート PKI (プライベートCAまたは内部CAと呼ばれることもあります)は、パブリックインターネットではなく、組織の信頼モデルに基づいて動作します。ブラウザのルートストアに依存するのではなく、独自のプライベートCA階層を制御(または制御を委任)します。
あなたにとって、これは次のことを意味します:
- 優れた柔軟性
- カスタム証明書プロファイル
- 証明書の有効期間の制御
- インフラストラクチャに合わせたポリシー
プライベートCAを使用すると、組織はパブリックな信頼ポリシーの制約を受けることなく、社内使用のためのデジタル証明書を発行できます。証明書のプロファイル、有効期間、セキュリティ管理、アクセス権を持つユーザーを自由に管理できます。これらの証明書は外部に公開されるものではなく、組織内でのみ使用されるため、ログには何も記録されません。
プライベート PKI ユースケースと利点
組織が民間部門に頼る最も一般的なシナリオは次のとおりです。 PKI:
リモートアクセスのセキュリティ保護 – VPN接続とWi-Fi認証は、パスワードだけでなく証明書ベースのIDを利用することで、はるかに安全になります。プライベートCAを使用すると、承認されたユーザーとデバイスに証明書を発行できるため、適切なユーザーのみがアクセスできます。
大規模なデバイス管理 – ノートパソコン、携帯電話、IoTエンドポイントなど、モバイルデバイス管理(MDM)システムは、すべてのデバイスが信頼できる証明書を持っている場合に最も効果的に機能します。プライベート証明書を PKI 登録はシームレスに、取り消しは即時に行えます。
内部サービスの保護 – 相互 TLS マイクロサービス間のセキュリティ、データセンター間の暗号化されたトラフィック、安全なステージング環境など、これらはすべて、公的な信頼を必要としないが、強力な暗号化と認証が絶対に必要な内部的な懸念事項です。
DevOpsの加速 – 開発やCI/CDパイプラインにも証明書が必要であり、多くの場合、迅速な処理と非標準の構成が必要です。プライベート PKI DevOps チームに、パブリック信頼の制限にぶつかることなく証明書の発行を自動化する柔軟性を提供します。
パブリックCAはインターネット向けサービス向けに最適化されています。以下の用途には適していません。
- 内部ホスト名
- テスト/ステージング環境
- 東西交通は相互に確保 TLS
- 大規模なデバイス認証
- カスタム証明書ポリシー
- 長寿インフラのルーツ
SSLがプライバシーを守る仕組み PKI アクセス可能な
SSLは現在3つのプライベート PKI あらゆる規模のサーバー組織にオプションをご用意しています。当社のチームは、お客様の組織に完全ホスティングのプライベートサーバーを提供できます。 PKI セルフサービスの即時 CA 作成、API ベースの登録、オプションの ACME、OCSP、CRL サポートを備えたソリューションです。
高保証プライベート証明書 – カスタマイズ可能なオプションと、WebTrust 監査済みの証明機関からの証明書発行を含む、パブリック信頼とプライベート信頼のハイブリッドです。
高保証専用 PKI – コンプライアンスのニーズが高い大規模組織向けに、高度にカスタマイズ可能で、お客様にぴったりのソリューションを提供します。
エンタープライズプライベート PKI – 高度なコンプライアンスを必要としない一般的な IT ニーズ (モバイル デバイス管理、VPN、内部ネットワーク、DevOps など)。
パブリックトラスト vs. SSLのプライベート PKI オプションのテクニカル比較
|
パブリックトラスト |
高保証プライベート証明書 |
高保証専用 PKI |
エンタープライズプライベート PKI |
|
|
CAライフサイクル |
主要な儀式と証拠収集を計画 |
重要な儀式や証拠収集が計画されていますか? |
重要な儀式や証拠収集が計画されていますか? |
セルフサービスによる作成と削除が可能なダイナミックな機能 |
|
アルゴリズムと鍵の種類/サイズ |
公共の信頼要件によって制限される |
プライベートによって定義 PKI CPS |
支援インフラによって制限される |
無制限 |
|
証明書の有効期間 |
公共の信頼要件によって制限される |
プライベートによって定義 PKI CPS。CA/B制限から緩和。 |
共同で定義されたCPSによって制限される。 |
無制限 |
|
証明書の内容とプロフィール |
公共の信頼要件によって制限される |
プライベートによって定義 PKI CPS |
共同で定義されたCPSによって制限される。 |
無制限 |
|
検証要件 |
公共の信頼の要件に従って |
プライベートによって定義 PKI CPS |
任意。CPSが共同で定義する。 |
必須ではありません |
|
監査保証 |
WebTrustまたはETSI |
WebTrust? |
ウェブトラスト |
無し |
|
ネットワークセキュリティ基準 |
CA/B NetSec あたり |
CA/B NetSec あたり |
CA/B NetSec あたり |
高いセキュリティ+ 業界のベストプラクティス |
|
セキュリティハードウェア |
FIPS 140-3またはCC EAL4+ |
FIPS 140-3 |
FIPS 140-3 |
FIPS 140-3 |
パブリックトラストとプライベートトラスト
ボトムライン
秘密公開鍵インフラストラクチャは以下を提供します:
- 複雑さのない制御
- 堅固さのないセキュリティ
- 運用上の摩擦のないコンプライアンス
ほぼすべての組織は、最終的にはパブリック信頼証明書だけでは不十分な状況に陥ります。社内のインフラストラクチャ、デバイス、そしてチームに、ウェブサイト訪問者に提供しているのと同じレベルの暗号化保護が必要な場合は、プライベート証明書が役立ちます。 PKI 答えはこうです。
エンタープライズプライベートが何なのか見てみましょう PKI あなたの組織ではどのように見えるでしょうか? 私たちと話してください PKI 今日の専門家。
