Autorità di certificazione privata (CA)

Una CA privata è un'autorità di certificazione (CA) specifica dell'azienda che funziona come una CA pubblicamente attendibile ma è gestita esclusivamente da o per l'azienda. Con una CA privata, un'azienda crea il proprio certificato radice privato che può emettere certificati di entità finale private per server e utenti interni. I certificati emessi da una CA privata non sono pubblicamente attendibili e non devono essere utilizzati al di fuori dell'infrastruttura e dei membri attendibili dell'azienda.  

In ultima analisi, un'autorità di certificazione garantisce l'identità di ogni macchina, utente o processo di codice nell'infrastruttura. Senza questo tipo di identità forte, sono possibili attacchi in base ai quali i programmi software man-in-the-middle rubano informazioni o emettono falsi comandi, provocando potenzialmente la perdita di dati, violazioni della sicurezza, furto di fondi o altri problemi. Nel caso di meccanismi di fiducia pubblica, come i certificati utilizzati per proteggere il traffico web, la posta elettronica e il codice distribuito, i certificati emessi seguono una "catena" crittografica fino alle CA pubbliche. Nel caso di una CA privata, l'azienda si configura come la fonte di verità definitiva su cui i dispositivi, gli utenti oi processi sono affidabili all'interno della rete.

In passato, le aziende usavano comunemente lo strumento Microsoft CA per macchine Windows o qualsiasi altra cosa nello stack tecnologico Microsoft. Microsoft CA era gratuito e integrato con Active Directory, quindi era adatto a gran parte di questo utilizzo. Negli ultimi anni, tuttavia, tendenze come il supporto di dispositivi mobili (incluso BYOD), Internet of things (IoT), cloud computing e DevOps hanno costretto l'uso di sistemi operativi non Microsoft su larga scala per applicazioni business-critical. Queste architetture hanno richiesto l'adozione di altre offerte di CA private, comprese applicazioni di CA private aftermarket da fornitori di sicurezza IT.

Gli usi comuni delle CA private includono:

  • Siti Intranet
  • Autenticazione VPN o wireless
  • Identificazione del dispositivo
  • Progetti Internet of Things (IoT)
  • Comunicazioni sicure tra i servizi interni
  • Comunicazioni interoperabili tra terze parti, inclusi ambienti cloud containerizzati o connessi tramite API.

Perché le CA private sono importanti?

La necessità di identità controllate da certificati all'interno dell'azienda è vasta. Molti dei casi d'uso sono inappropriati per certificati pubblicamente attendibili comuni, quindi le aziende devono emettere certificati dalla propria struttura di attendibilità per queste circostanze. La mancata implementazione di pratiche di identità forti per i sistemi interni rappresenta un rischio inaccettabile di furto di dati o altre violazioni catastrofiche.

Un'offerta di CA privata commerciale può aiutare un'azienda a ridurre i rischi e favorire la conformità seguendo le migliori pratiche di infrastruttura a chiave pubblica (PKI), crittografia e sicurezza IT, incluso il monitoraggio e l'automazione del rinnovo dei certificati distribuiti. Può ridurre il time to market e aumentare l'agilità aziendale consentendo agli amministratori di rete di gestire certificati e pratiche piuttosto che creare la propria PKI da zero. E può liberare il tempo dei dipendenti per altre attività automatizzando la maggior parte delle attività amministrative per i certificati interni.

Cos'altro dovrebbe sapere il lettore sulle CA private?

Molte delle architetture che guidano l'aumento dell'uso dei certificati sono ancora agli inizi. Contenitori, multi-cloud, IoT e altre architetture informatiche contemporanee stanno aumentando il numero di certificati richiesti per ordini di grandezza, il che in molti casi riduce di conseguenza la durata del certificato medio. In queste architetture, l'automazione è un requisito per la distribuzione e la gestione dei certificati.