Yaşam döngüsünün kısaltılması Aktarım Katmanı Güvenliği (TLS) sertifikaları bu sertifikaları gerektiren web sitelerinin ve donanım cihazlarının güvenlik açığını önemli ölçüde azaltabilir. TLS sertifikaları, güvenli bir bağlantı kurmak ve hassas verileri korumak için Web sunucusu ile Web istemcisi (veya sunucudan sunucuya) arasında değiştirilir. Günümüzün dijital sertifikalarının çoğunluğunun yaşam süresi 398 gündür; bu, 33 günlük ödemesiz süreye sahip 365 günlük bir sertifikadır; bu, sertifikanın geçerlilik süresi sona ermeden önceki 398 fiili güne eşittir. Gelen teklifler ise Google Ve Elma ancak yaşam döngüsünün 100 güne (90 gün artı ek süre) veya hatta 47 güne (30 gün artı ek süre) düşebileceği onaylandı.
Sectigo’nun kıdemli araştırmacısı ve CTO’su Jason Soroko, DevOps ortamlarında 10 gün veya daha kısa süreli sertifikalar bulmanın alışılmadık bir durum olmadığını söylüyor. Bir sertifikanın yayında olduğu gün sayısı, sertifikanın tehlikeye atılması durumunda verilerin kaybolma olasılığını artırdığı için daha kısa ömürler belirlenir. Süresi dolmuş bir sertifika, tarayıcı bağlantısının reddedilmesine, ihlalin etkili bir şekilde kesintiye uğramasına ve veri sızıntısının durdurulmasına neden olabilir.
Otomatik Güncellemeler Değişikliği Kolaylaştırır
Dijital sertifikaların ne sıklıkta yenileneceği konusundaki belirgin değişikliğe rağmen, şu anda güvenlik bilgilerine ve olay yönetimine (SIEM) güvenen kuruluşlar için operasyonel olarak pek bir değişiklik olmayacak; güvenlik düzenlemesi, otomasyonu ve müdahalesi (SOAR); veya bu tür sertifikaların yenilenmesini otomatikleştirmek için başka bir yöntem, ortak bir kurulum. Aslında Soroko, sertifika yaşam döngüsü yönetimi (CLM) günlüklerinin, sertifikaların geçerlilik süreleri dolmadan güncellenmesini sağlamak için kuruluşun SIEM ve SOAR sistemlerine beslendiğini ve bunun da iş sürekliliği sağladığını söylüyor.
Ağlarını ve ağ güvenliklerini yönetmek için bir hizmet sağlayıcı kullanan birçok küçük ve orta ölçekli işletme (KOBİ), CLM hizmetleri aracılığıyla otomatik sertifika güncellemelerini zaten alıyor olabilir. Yönetilen hizmet sağlayıcıları veya yönetilen güvenlik hizmeti sağlayıcılarını kullanan kuruluşlar, onlara bu tür güncellemelerin mevcut olup olmadığını sormalıdır. CLM, sözleşmeleri başlangıçtan yenilemeye kadar yönetir. Süreçleri otomatikleştirmek için CLM yazılımının kullanılması, kurumsal sorumluluğun sınırlandırılmasına ve yasal gerekliliklere uygunluğun geliştirilmesine yardımcı olabilir.
Operasyonel olarak önemli ölçüde etkilenebilecek gruplar yalnızca sertifikaları manuel olarak güncelleyen gruplardır. Soroko, bir sertifikanın manuel olarak güncellenmesi gerektiğinde hataların ortaya çıkabileceğini söylüyor. Bugün yapılan yıllık güncellemeler yerine, 30 günlük bir sertifika (artı önerilen 17 günlük yetkisiz kullanım süresi) yılda 12 güncelleme gerektirecektir; bu, hataların ortaya çıkması ve riskin artması açısından 12 çarpanıdır.
GlobalSign’ın dünya çapındaki CIO’su ve Brüksel merkezli bir sertifika ve kimlik yetkilisi olan CISO’su Arvid Vermote, “Altyapılarını yönetmek için sınırsız kaynaklara sahip olmayan küçük şirketler için bu oldukça uyandırma çağrısı olacak” diyor. “Geçmişte [certificate authorities] otomasyonu savunuyoruz. Araçları sağlıyorlar. Ama gerekmiyorsa neden değişelim?”
Sertifikaların geçerlilik süresi giderek kısaldıkça, manuel işlem yapan şirketler, otomasyonun sertifikaları yenilemenin sadece daha hızlı değil aynı zamanda daha güvenilir bir yolu olduğunu da kısa sürede anlayacaklardır.
Soroko, sertifikaları manuel olarak güncellemenin kolay olmadığını belirtiyor.
“Bu çok teknik bir görev ve bu konuda ustalıkla hareket edip bir web sitesini çökerten bir hata yapmak hiç de zor değil” diyor ve büyük şirketlerin çoğunun Web varlıklarında kesinti yaşamayı göze alamayacağını, bu yüzden de bu işi yapmaya başladıklarını ekliyor. Yıllar önce manuel güncellemeler yerine CLM’yi dağıtın.
Soroko, şirketin büyüklüğü ne olursa olsun kuruluşun güncellemeleri otomatikleştirmesi gerektiğini söylüyor. Teknoloji “herkes için idealdir ve size yalnızca bir sertifika vermekle kalmaz, aynı zamanda görünürlük, otomasyon ve keşif olanağı da sağlar.” [digital] sahip olduğunuzu bile bilmediğiniz sertifikalar” diyor.
CLM, Gölge BT’ye Işık Tutuyor
Soroko, sertifikaların sık sık rotasyonunun, CLM sisteminin ortamınızı güncellenecek sertifikalar için sık sık tarayacağı ve hatta muhtemelen BT departmanının kayıtlarında bulunmayan dijital sertifikaları bile bulacağı anlamına geldiğini ekliyor. Bu durum bazen, hizmet satın almak için imzalama yetkisine sahip kurumsal departman başkanlarının, operasyonel ihtiyaçları karşılamak için hizmet olarak yazılım uygulamaları ve Web hizmetleri satın alması ancak bu hizmetleri BT ekibine raporlamaması durumunda meydana gelir.
Sanal makinelerde, Web sunucularında, yük dengeleyicilerde ve diğer donanımlarda çalışan hileli uygulamalarla gölge BT’nin tüm öğelerini tanımlamak zor olabilir. Bununla birlikte, CLM sistemlerinin sürekli olarak sertifikaları izlemesini sağlamak, geçmişte gözden kaçmış olabilecek dijital sertifikalar gerektiren yeni donanımların, sanal sunucuların ve bulut örneklerinin belirlenmesine yardımcı olabilir. Bir sertifika bilinmeyen cihaz veya sanal makine Yetkisiz bir bağlantı veya devam eden bir ihlal olarak tanımlanabilir.
Vermote, sertifika yaşam döngülerindeki değişikliğin muhtemelen en çok KOBİ’leri etkileyeceğini söylüyor. Aslında bu, CISO’nun yönetim kuruluna gidip otomasyon için finansman talep etmesi için iyi bir zaman olabilir.
“[The] Vermote, CISO’nun yönetim kurulundan yalnızca bir olay olması durumunda para aldığını belirtiyor. “CIO’lar yönetim kurulundan yalnızca sistemler kullanılamadığında para alıyor. Bu durumda her ikisi de söz konusudur, çünkü yönetim kurulu onlara otomatikleştirmeyi uygun şekilde yapmaları için gerekli finansmanı sağlamazsa ve sertifika envanterlerinin süresi dolarsa, web siteleri [and] Dahili veya harici müşterilere sağlanan meşru hizmetler kullanılamayacaktır.”
451 Research analisti Justin Lam, işletmelerin dijital sertifikalara reaktif uyumluluk perspektifinden ziyade proaktif risk yönetimi perspektifinden bakması gerektiğini söylüyor. Daha uzun ömürlü sertifikalar bir ihlal veya olay durumunda her zaman iptal edilebilirken, daha kısa yaşam döngüleri, BT’nin farkında olmadığı sertifikalar üzerinde daha fazla gözetim ve umarım daha iyi kontrol anlamına gelir.
Lam, “Birçok güvenlik uzmanı aslında bu şeylerin korunduğu ortamların sahibi değil” diyor.
Bulut güvenliği duruş yönetimi, sıfır güven, bulutta yerel uygulama koruması ve diğer güvenlik araçlarına yönelik tüm araçların yönetimi CISO’nun himayesine girse de birçok CISO, dijital sertifika gerektiren bulut oturumlarının ne zaman başlatıldığını bilmiyor. Ağlarını savunma sorumluluğuna sahipler ancak bu ağlarda görünürlük veya her şeyi koruyacak finansman olması şart değil.