Olisiko aika modernisoida PKI-infra – mutta miten?
Yksi rakkaimmista nuoruuteni kirjoista oli Practical UNIX and Internet Security vuodelta 1996. Luin kirjan ensimmäisen painoksen hiirenkorville työn ohessa, ja ehkäpä koin samalla jonkinlaisen heräämisen tietoturvaan yleisesti. Sen myötä ajauduin sakeampiin oppaisiin, joista yksi oli Microsoftin Windows Serverille kirjoitettu PKI and Certificate Security-manuaali. Ehkä se oli samalla opas, mutta aika raskassoutuinen sellainen.
Vuosien myötä unohdin monta yksityiskohtaa PKI:sta – eli Public Key Infrastructuresta – joita sittemmin olen luontevasti palautellut mieliin projektien aikana.
Mitä PKI on käytännössä vuonna 2023?
PKI tulee vastaan usein pilvisiirtymässä. Organisaation omasta konesalista löytyy vanhahko Windows Server-pannu, johon ’joku’ on joskus asentanut Windows Certificate Services-palvelun. Tähän oli aikoinaan niin monta best practicesia, jolloin toteutustapojakin tuli suunnilleen yhtä monta.
Tätä CA-palvelinta on menestyksekkäästi käytetty sitten kaikenlaisten sertifikaattien generointiin ja hallintaan: Sisäisiä weppipalveluita, modernia ja epämodernia laitehallintaa, tunnistautumista ja sen sorttista. Eikä tässä ole inherentisti mitään vikaa – päinvastoin! Tunnin asennustyö joskus 2012 harvoin takaa millekään infra-palvelulle 10 vuoden käyttöaikaa.
Tässä toki on se ongelma, että PKI on redusoitunut melko etäiseksi alustapalveluksi, joka kiinnostaa-asteikolla on jossain DHCP:n ja VBScriptin välissä. Ajatus PKI-infran säätämisestä on aavistuksen pelottava, kun aina ei ole täyttä varmuutta mitä pitikään säätää – ja mistä.
Toisaalta, PKI-tarpeet ovat hieman hajautuneet, kun on ryhdytty pohtimaan WiFi-autentikaatiota, Windows Hello for Business’tä ja vastaavia. Näissä perinteinen PKI-infra palvelee yhä hyvin.
Jonkinsorttinen modernisaatio on PKI-infran myötä herännyt muiden tarpeiden myötä, kun ollaan menossa täysin pilveen. SCEPman-tuote on tässä tarjonnut oman mahdollisuuden, kuitenkin usein nykyisen PKI-ratkaisun rinnalla.
Miten PKI-infra modernisoidaan?
Vaihtoehdot ovat juuri nyt rajalliset mutta selkeät. Vanhat Windows Server-pohjaiset PKI-pannut on mahdollista migroida Azureen virtuaalipalvelimina. Tämä ei sinänsä tuo suurta muutosta mihinkään, mutta ainakin vanhat Windows Server-versiot saadaan eläköitettyä samalla. Todennäköisesti myös tietoturvan hallintaan löytyy nyt järkevämmin automatisoidut kyvykkyydet.
Migraatio on paras vaihtoehto, jos tavoitteena on pitkälti jatkaa PKI-ratkaisun käyttöä lähivuodet sellaisenaan.
Microsoft on tuomassa markkinoille jossain vaiheessa loppuvuotta oman Cloud PKI-ratkaisunsa. Lisenssihinnat, tarkat kyvykkyydet, eksakti saatavuus ja joustavuus ovat toki vielä täysin pimennossa. Odotetusti tämä tulee toimimaan Intune Suite-tuotepaketin kyljessä.
Vaihtoehtoja on siis käytännössä juuri nyt kolme:
- Päivitetään nykyiset Windows Server PKI-palvelimet nykyaikaisempaan Windows-versioon. Mahdollisesti siirrytään Azureen, mutta mikään pakko ei ole.
- Vaihdetaan tilalle jotain muuta, jos muita PKI-tarpeita ei ole ja jokin kolmannen osapuolen ratkaisu kattaa tämän hetken tarpeet riittävässä määrin.
- Ollaan nykytilanteessa ja evaluoidaan tulevaa Cloud PKI/Cloud Certificate Management-ratkaisua, kun public preview tulee saataville. Karkea arvaus Q4/2023.
Yhteenvetona
Monen hiljaisen PKI-vuoden jälkeen on ollut ilahduttavaa huomata, että modernit päätelaitteet ja hallintaratkaisut edellyttävät yhä perinteisiä tietoturvaamisen ratkaisuja. Me Not Bad Securityllä kykenemme opastamaan, auttamaan ja toteuttamaan PKI-ratkaisujen modernisoinnin sopivimmalla tavalla. Ota yhteyttä!