公鑰基礎(chǔ)設(shè)施(PKI)證書一直以來都被當(dāng)成Web服務(wù)器和物聯(lián)網(wǎng)(IoT)防護(hù)的最佳辦法。過去，PKI的部署和更新工作需要IT人員手動操作，耗時(shí)耗力。如今，可以利用工具自動化這些過程，讓網(wǎng)絡(luò)、設(shè)備與用戶之間的連接防護(hù)工作更簡單高效進(jìn)行。

[[221202]]

證書可用于加密靜態(tài)數(shù)據(jù)。PKI還可以驗(yàn)證用戶、系統(tǒng)和設(shè)備而無需令牌、口令策略或其他由用戶提供的驗(yàn)證因素。在互動身份驗(yàn)證場景中，證書可唯一地標(biāo)識設(shè)備，強(qiáng)化授權(quán)過程并保護(hù)設(shè)備對設(shè)備的通信。因此，證書確保了傳輸?shù)臄?shù)據(jù)或消息都不會被篡改。

企業(yè)面臨的挑戰(zhàn)就是確定到底該保護(hù)哪些資產(chǎn)，尤其是在越來越多的公司都開始擁抱IoT趨勢的情況下。PKI可以確保所有設(shè)備的數(shù)據(jù)機(jī)密性、完整性和可用性基本安全要求都得到恰當(dāng)?shù)呐渲谩?/p>

但該工作如今基本上不可能通過人工過程來實(shí)現(xiàn)，因?yàn)樯暇€設(shè)備的數(shù)量實(shí)在太多了。到2020年，將有超過250億臺設(shè)備接入互聯(lián)網(wǎng)，而這么多設(shè)備的連接都必須受到保護(hù)以防止公司和個(gè)人受到惡意攻擊。

我們不妨跟10年的情況來做個(gè)類比。在10年前，證書頒發(fā)機(jī)構(gòu)(CA)為整個(gè)互聯(lián)網(wǎng)頒發(fā)的數(shù)字實(shí)體身份驗(yàn)證證書大約有1000萬個(gè)。今天，僅僅1家公司可能就需要1000萬個(gè)證書來認(rèn)證其設(shè)備和服務(wù)。所需證書的數(shù)量增長可謂指數(shù)級。于是，證書的產(chǎn)生和頒發(fā)就開始變得復(fù)雜了。

畢竟，PKI就是在數(shù)學(xué)基礎(chǔ)上產(chǎn)生的，利用算法來指導(dǎo)對簽名的驗(yàn)證，保護(hù)設(shè)備和網(wǎng)絡(luò)間數(shù)據(jù)共享及通信的安全。幸運(yùn)的是，算法愈趨復(fù)雜的同時(shí)，技術(shù)也在進(jìn)步，現(xiàn)代電腦可以處理驗(yàn)證設(shè)備或網(wǎng)站鏈接安全性所用的復(fù)雜算法。

但是，針對這些系統(tǒng)的網(wǎng)絡(luò)攻擊也變得更加先進(jìn)了，而且攻擊越來越頻繁。所以，有效利用PKI的一個(gè)關(guān)鍵方面就是根據(jù)威脅情況的變化適時(shí)調(diào)整并更新這些證書。換句話說，PKI不是一旦設(shè)置就可以再不用管的，今天的威脅態(tài)勢下，PKI的使用需要持續(xù)而周全的安全計(jì)劃。很多時(shí)候，云服務(wù)提供商會僅僅因?yàn)槟橙送烁伦C書而遭遇系統(tǒng)宕機(jī)的悲劇。而這一切都是源于證書更新過程是手動而非自動化的。

因此，讓PKI可用性更高的方法之一，就是與引入了自動化技術(shù)的CA合作，卸下IT人員身上的人工維護(hù)負(fù)擔(dān)。IT人員和用戶不用擔(dān)心這會“破壞”什么東西，因?yàn)樗麄儾挥米⒁庹_的討論組或新攻擊動態(tài)。

開發(fā)環(huán)境中引入自動化的PKI也很有用，因?yàn)殚_發(fā)人員需要經(jīng)常性地提交和拉取代碼。PKI可以讓每位開發(fā)者簽署自己訪問的東西，創(chuàng)建信任鏈。開源項(xiàng)目和公司下載站點(diǎn)也可以利用PKI防止網(wǎng)站被劫持或淪為DNS攻擊的受害者。

如果公司企業(yè)計(jì)劃采用PKI，有必要同時(shí)納入自動化可提供的種種優(yōu)勢。與CA合作的好處就體現(xiàn)在這里。CA負(fù)責(zé)管理PKI，參與到論壇和工作組里，確保PKI能適應(yīng)不斷變化的威脅態(tài)勢。這可以讓公司企業(yè)從此類責(zé)任中解脫出來，專注到他們的戰(zhàn)略性業(yè)務(wù)目標(biāo)上。