Hướng dẫn về PKI – Phần 1: Lập kế hoạch

Bạn hiểu thế nào về PKI, đó là viết tắt của Public Key Infrastructure – cơ sở hạ tầng khóa công khai.
Nội dung trích xuất từ tài liệu:
Hướng dẫn về PKI – Phần 1: Lập kế hoạchHướng dẫn về PKI – Phần 1: Lập kế hoạchNguồn:quantrimang.com Martin KiaerBạn hiểu thế nào về PKI, đó là viết tắt của Public Key Infrastructure – cơ sởhạ tầng khóa công khai. Trong loạt bài gồm 4 phần này chúng tôi sẽ giớithiệu cho bạn vắn tắt về tổng quan cách thiết kế, cài đặt và khắc phục sựcố một PKI dựa trên Microsoft Certificate Services trong Windows Server2003. Bên cạnh đó chúng tôi cũng giới thiệu cho bạn một số cạm bẫy thườnggặp và cách thực hiện tốt nhất để xây dựng và thực thi một PKI, chúng tôi sẽ tậptrung vào các vấn đề cần thiết trong việc xây dựng đúng và linh hoạt PKI ngay từlúc bắt đầu.Tại sao lại cần đến PKI Một vài năm trở lại đây, hầu hết mọi người đều nói về năm 2000 như là năm của PKI. Nhiều người tin tưởng rằng, xu thế chủ đạo của thị trường cuối cùng cũng có khuynh hướng sử dụng tất cả các khía cạnh tốt mà PKI có thể cung cấp. Mặc dù vậy như những gì bạn có thể đoán, các chứng chỉ và PKI chưa từng thực sự cất cánh. Điều đơn giản là nó không đủ gây chú ý cho việc quản lýphân loại và nhân viên kỹ thuật (người có thể thấy được giá trị của PKI). Mặc dùvậy, sau một thời gian, PKI lại trở thành một trong những chủ đề nóng nhất trongcác doanh nghiệp lớn và trung bình. Sự thay đổi trong vấn đề bảo mật, nơi bảomật và các cải thiện trong Internet và khi các công nghệ truyền thông di động trởthành một ngành kinh doanh cho doanh nghiệp, điều đó có nghĩa rằng cácchứng chỉ và PKI đã sẵn sàng cho xu thế chủ đạo của thị trường kinh doanh hơnbao giờ hết.Chính vì vậy, vấn đề lớn PKI với bạn đó là tại sao lại cần phải quan tâm? Cơ bảnmà nói đó chính là sự sa sút trong việc quản lý chứng chỉ. Bạn có thể thấy đượcrằng, ngày nay các chứng chỉ có ở bất cứ đâu và thường chúng được sử dụngmà không cần biết bạn đã bao giờ lo lắng về khả năng tồn tại của chúng. Mộttrong những kịch bản chung nhất mà các chứng chỉ được sử dụng đó là: Mã hóa file và đĩa (các chứng chỉ được sử dụng để bảo vệ khóa mật) • Thẩm định đa hệ số giống như các thẻ thông minh • IPSec • Chữ ký số • RADIUS và thẩm định 802.1x • Các mạng không dây • NAP (Network Access Control - Điều khiển truy cập mạng) và NAQ • (Network Access Quarantine – Cách ly truy cập mạng) cho một nguyên tắc Dấu hiệu mã và driver • SSL/TLS cho việc bảo vệ lưu lượng dựa trên HTTP •Như bạn có thể thấy, các chứng chỉ được sử dụng ở nhiều vị trí khác nhau vàmục đích chính của nó là bổ sung tính bảo mật cho cơ sở hạ tầng và giải phápCNTT của bạn. Nhưng nếu quan sát danh sách ở trên thì có thể hình dung đượcrằng điều này cũng có nghĩa là bạn phải quản lý rất nhiều chứng chỉ, số lượngnhiều hay ít lại phụ thuộc vào những tính năng mà bạn muốn sử dụng trong cơsở hạ tầng và cách quyết định bổ sung chúng như thế nào. PKI đơn giản là cáchquản lý tập trung việc phát hành, thay mới, hủy bỏ các chứng chỉ và xây dựngđường dẫn tin cậy của chính bạn. Các chứng chỉ và PKI mà chúng tôi sẽ giớithiệu trong loạt bài viết này dựa trên X.509 v3, điều đó có nghĩa rằng chúng ta cóthể tận dụng một số ưu điểm về cách sử dụng chứng chỉ, và điều đó sẽ đượcthấy rõ hơn trong phần hai của loạt bài này.Quan trọng:Dự định của loạt bài này sẽ cho bạn biết nhanh chóng tổng quan của các lĩnhvực quan trọng nhất, để bạn có thể dễ dàng có được nền tảng về PKI. Mặc dùvậy việc xây dựng một PKI có thể là một dự án lớn và nếu bạn là một quản trịviên CNTT quan tâm đến vấn đề bảo mật thì có thể sẽ cần xem xét sâu hơntrong các liên kết được chúng tôi cung cấp ở cuối mỗi phần của bài.Lên kế hoạch cho PKITác giả đưa giai đoạn lập kế hoạch vào phần đầu của bài vì dù sao phần lập kếhoạch cũng rất quan trọng và muốn giới thiệu cách lập một kết hoạch như thếnào để có được hiệu quả tốt nhất thông qua một số lĩnh vực mà bạn nên tậptrung. Lỗi thường xảy ra nhất đối với các công ty khi thực hiện cài đặt MicrosoftCertificate Services (bằng cách đó thiết lập một PKI) là họ thường bỏ qua phầnkế hoạch, và như vậy hậu quả làm tốn rất nhiều tài nguyên và tiền của, cuốicùng họ nhận ra rằng có thể không thấy một số vấn đề quan trọng khi vào menuAdd/Remove Windows Components trong các máy chủ Windows 2000 hayWindows 2003 và đặt một dấu kiểm tra trước các thành phần CertificateServices.Các khía cạnh bạn nên xem xét trong suốt quá trình lập kế hoặc cho PKI là: Kiểm tra xem chính sách bảo mật của bạn có sẵn sàng được c ...