逗阴馆

Trust Lifecycle Manager 01-09-2024

証明书ライフサイクル管理の自動化に向けた 3 つの鍵

?

Robyn Weisman
3 Ways to Automate CLM Hero

テクノロジーの进化とコネクティビティの増加に伴って、多くの人の仕事が楽になってきました。しかし、ほとんどのネットワーク管理者にとっては、その逆もまた现状です。

组织が、ウェブサーバやロードバランサーによって冗长性と高可用性の両方を确保しつつ、悪意のある攻撃者に备えようとするとき、頼りにされるのはネットワーク管理者です。またネットワーク管理者は、サーバーやロードバランサー上で动作するアプリケーションやデータの安全性も、オフラインにすることなく、保証しなければなりません。

长年にわたり、こうした重责を担う人々は、スプレッドシート、スクリプト、専用ツールを组み合わせて使用しながら、接続と通信を保护する TLS 証明書ライフサイクルを管理してきました。この种の手作业による証明书管理は、一贯して时间のかかるものでした。しかし、それがいよいよ持続不可能になりつつあります。

それを解决するのが、调达から更新、失効まで TLS 証明書の管理を自动化する証明书ライフサイクルプラットフォームです。

証明书ライフサイクル管理(CLM)の自動化は、ネットワーク管理者が任される膨大な数の証明书を适切に管理するうえで、もはや望ましいものから必要不可欠なものへと変わりつつあります。その理由を探ってみましょう。

証明书の寿命が短くなり、管理の必要な証明书が増加

公開証明書の最長有効期間は、10 年以上も前から短くなり続けています。2012 年には 5 年だったのが 2020 年には 398 日となっており、もし Google の思惑どおりになれば、わずか 90 日に短縮される可能性すらあります。

有効期间が短くなれば、証明书はこれまでよりはるかに早く失効するわけです。そんなとき、証明书を手作业で管理していたのでは、失効の近い証明书を见逃しやすくなり、组织は业务停止や、悪くすればデータ侵害のリスクにさらされることになります。

問題をさらに複雑にしている要素もあります。多くの大企業が、従来型のデータセンターから分散型の複雑な IT 環境に移行しつつあり、企業が管理しなければならない TLS 証明書の数が爆発的に増えているということです。「电子証明书」という言葉は今、「マシン ID」と同義で使われることが増えています。今日のハイブリッド IT の世界では「マシン」の定義が広がっているからです。

マシンとは、従来の物理的なサーバーや PC から、モバイルデバイスや IoT デバイス、ウェブサイト、さらにはマイクロサービスで構成されたオンラインアプリ、コンテナ、クラウドインスタンスまで、今やあらゆるものを指すようになりました。こうしたマシンに共通しているのは、相互に安全に通信するために一意のマシン ID が必要だということです。そして、ネットワーク管理者は、その ID ひとつひとつを管理するという面倒なタスクが増えているのです。

効果的な証明書ライフサイクルプラットフォームの 3 つの機能

優れた CLM ソリューションが企業全体で機能しなければならないことは、もちろんご存じでしょう。では、具体的にどんな機能があれば、ネットワーク管理者は証明書インベントリを十全に管理できるのでしょうか。

注意すべきポイントは以下の 3 つです。

1. サードパーティのネットワーク機器とのネイティブ統合

ウェブサーバやロードバランサーからなる一般的なクラスタは、何千というアプリケーションをホストしており、それぞれが数百のマイクロサービスで構成されています。個々のサーバー、アプリ、マイクロサービスには、他の ID と識別されて適切に認証を通過し、ネットワークの安全性を確保するために独自のマシン ID が必要です。

それぞれのマシン ID を追跡するには、完全な最新の証明書インベントリを管理する必要があります。しかし、CLM ソリューションは必ずしもネットワークデバイスとのネイティブ統合を実現しているとは限りません。そうなると、証明书管理を自動化するには複数の手段が必要になってきます。

ウェブサーバ、ロードバランサー、その他のネットワークアプライアンスの場合は、ローカルにインストールされたエージェントと、各デバイスを CLM プラットフォームに确実に接続する API 統合(センサー)が必要です。そのような統合のシームレスな動作をソリューションで保証できなければ、トラブルシューティングに要する時間のほうが、自動化で節約できる時間より増えるという羽目にもなりかねません。

効果的な CLM ソリューションなら、各デバイスとのネイティブ統合も実現されています。そのため、こうしたアーキテクチャに伴う証明書をすべて確実に管理できます。ウェブサーバやロードバランサーとシームレスに連携する独自の完全な CLM 自動化アーキテクチャを提供できれば、さらに理想的です。

逗阴馆? Trust Lifecycle Managerのようなソリューションは、ネットワーク管理者が対処しなければならない多様なワークフローとターゲットをすべてサポートします。

逗阴馆 Trust Lifecycle Blog Image

2. 証明書の実装を自動化するプロファイル

証明书ライフサイクル管理の自動化では、柔軟性が重要です。たとえば、内部(プライベート)と外部(パブリック)のウェブサーバでは異なる証明書ライフサイクルを使いたい場合があります。しかし、たいていのネットワーク管理者は、そのようなアクションを設定できる公开键基盘(笔碍滨)の専门知识を持ち合わせていません。

そこで登場するのがプロファイルです。プロファイルは、事前定義されたルールセットに従って、电子証明书の発行、管理、および使用方法を決定します。効果的な CLM ソリューションには、あらかじめ構成が設定されているテンプレートが用意されているので、それを応用してタイプ、有効期間、信頼の階層構造といった証明書プロパティを定義して、ユースケースの違いに応じて異なる構成を使用することができます。たとえば、公共ウェブサーバの証明書、社内デバイスおよびサービスの認証、社内 Wi-Fi ネットワーク上のアプリへの従業員のアクセスなどに対して、それぞれ別の構成を定義するプロファイルを作成できます。

ワークフローを自動化すれば、セキュリティやコンプライアンスに関する問題を明らかにして改善することもできます。たとえば、Let's Encrypt のような未承認の认証局(颁础)を利用して証明书が调达されていたことを自动化によって明らかにし、问题が発生する前にデジサート証明书に置き换えることができます。また、トラフィックが少ないときにのみ証明书を更新するように时间を设定することもできるため、更新が原因となって、ブラックフライデーのような繁忙期に不注意でアプリケーションが停止することもなくなります。

3. 継続的な可用性

ネットワーク管理者なら、セキュリティこそが事業継続性の維持に必要な基盤であることを知っています。しかし、証明书管理を自動化する CLM プラットフォームがなければ、100% の可用性を達成するというのは、いつまでも不可能な目標のままで終わります。手作業で管理する电子証明书があまりにも多く、人為的ミスが発生する恐れも無限に続くからです。

優れた CLM プラットフォームは、検出段阶から TLS 証明书ライフサイクルの管理まで、フルスタックの自動化を備えています。そうした無数のプロセスを合理化し、設定ミスの可能性を減らすことができれば、ネットワーク管理者は、誤った証明書によるダウンタイムのリスクを低減できます。オーバーヘッドを減らすと同時にセキュリティを強化できるので、管理者は本来の業務に専念できるようになります。

デジタルトラストに関する最新情报

証明书管理エンタープライズセキュリティPKI などのトピックについて詳細をご希望ですか? 記事を見逃さないようにデジサートのブログを参照してください。

Subscribe to the blog